Política de Divulgación de Vulnerabilidades de Seguridad 

1. Introducción

En Bomdiu, nos tomamos la seguridad en serio y valoramos las contribuciones de los investigadores de seguridad y de la comunidad de seguridad en general para ayudarnos a mantener la seguridad y la integridad de nuestros sistemas. Esta Política de Divulgación de Vulnerabilidades describe las pautas para informarnos sobre vulnerabilidades de seguridad.

2. Alcance

Esta política se aplica a cualquier vulnerabilidad de seguridad encontrada en los servicios de acceso público de Bomdiu, incluido nuestro sitio web, API y cualquier otro sistema propiedad de Bomdiu y operado por ella.

Fuera del Alcance

Lo siguiente se considera fuera del alcance de esta política:

  • Vulnerabilidades en servicios o aplicaciones de terceros que no están bajo el control directo de Bomdiu.
  • Ataques de ingeniería social, incluido el phishing a nuestros empleados o contratistas.
  • Seguridad física de nuestras oficinas o centros de datos.
  • Informes de escáneres automatizados sin una prueba de concepto que demuestre una vulnerabilidad específica.
  • Ataques volumétricos de denegación de servicio.

3. Pautas de Divulgación Responsable

Solicitamos a los investigadores de seguridad que cumplan con las siguientes pautas al informar vulnerabilidades:

  • Actúe de buena fe y evite violar las leyes o violar datos.
  • No realice ataques que puedan interrumpir nuestros servicios, incluida la denegación de servicio (DoS), el spam o la ingeniería social.
  • No acceda, modifique ni elimine datos que no le pertenezcan.
  • Proporcione un informe claro y detallado con los pasos para reproducir la vulnerabilidad, incluida cualquier prueba de concepto relevante.
  • Informe las vulnerabilidades con prontitud y concédanos un tiempo razonable para investigar y remediar antes de la divulgación pública.

4. Proceso de Informe

Si ha descubierto una vulnerabilidad de seguridad, infórmenos a través de security@bomdiu.com con los siguientes detalles:

  • Una descripción de la vulnerabilidad.
  • Pasos para reproducir el problema.
  • Impacto potencial de la vulnerabilidad.
  • Cualquier material de apoyo (por ejemplo, capturas de pantalla, registros, código de prueba de concepto).

Nuestro objetivo es confirmar la recepción de su informe dentro de los 2 días hábiles y proporcionar una evaluación inicial dentro de los 5 días hábiles. Lo mantendremos informado de nuestro progreso a medida que investigamos y remediamos el problema.

5. Nuestro Compromiso

Una vez que haya enviado un informe, nos comprometemos a lo siguiente:

  • Confirmaremos su informe con prontitud.
  • Trabajaremos con usted para comprender y validar sus hallazgos.
  • Tomaremos medidas razonables para remediar la vulnerabilidad de manera oportuna.
  • Mantendremos una línea de comunicación abierta con usted durante todo el proceso.

6. Reconocimiento

Bomdiu no ofrece recompensas financieras ni compensaciones por la divulgación de vulnerabilidades de seguridad. Sin embargo, valoramos profundamente las contribuciones de los investigadores de seguridad. Podemos ofrecer reconocimiento público por vulnerabilidades significativas y divulgadas de manera responsable, con su permiso.

7. Consideraciones Legales

Al enviar un informe, acepta evitar cualquier actividad ilegal y seguir prácticas de divulgación ética. Bomdiu no emprenderá acciones legales contra los investigadores que actúen de buena fe y cumplan con esta política.

8. Conclusión

Agradecemos los esfuerzos de los investigadores de seguridad para hacer que los servicios de Bomdiu sean más seguros. Si tiene alguna pregunta sobre esta política, contáctenos en security@bomdiu.com.

Gracias por ayudarnos a mantener la seguridad de nuestros sistemas.