Política de Revelación Responsable

ADVERTENCIA: esta es una traducción de la versión original en inglés que se proporciona únicamente para fines informativos y de conveniencia. En caso de litigio o controversia, sólo prevalecerá la versión en inglés.

El Programa de Recompensas de Errores (Bugs) de Ledn está actualmente en modo privado con HackerOne. Si usted quiere ser incluido, contacte a alicia@hackerone.com. Si no desea utilizar HackerOne, todos los reportes enviados directamente a Ledn deben estar encriptados utilizando PGP: 443B976BCBCDB3DB9F2D18828A690EE848D0CB3D.

Introducción

Estamos comprometidos con el mantenimiento de la seguridad de nuestros sistemas y la protección de la información sensible contra la divulgación no autorizada. En la medida de lo posible, nos esforzamos por ir más allá de los estándares de la industria, innovar y establecer nuevas normas de seguridad para mantenernos al día con el mundo en constante evolución de las ciber-amenazas.

Esta política describe qué sistemas están en el ámbito de aplicación, los tipos de pruebas y escaneos de seguridad permitidos, cómo enviarnos reportes de vulnerabilidad y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de revelar públicamente las vulnerabilidades.
Requisitos

Si usted hace un esfuerzo de buena fe para seguir esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, es útil y no se emprenderá ninguna acción legal contra usted. Esperamos trabajar con usted para entender y resolver rápidamente cualquier problema identificado.
- Para cumplir con esta política, debe abstenerse de:
  - probar cualquier sistema que no sea el establecido en la sección "Ámbito de Aplicación",
  - divulgar información sobre vulnerabilidades, salvo lo establecido en la sección "Reporte de una Vulnerabilidad",
  - involucrarse en pruebas físicas de instalaciones o recursos,
  - involucrarse en ingeniería social,
  - enviar cualquier correo electrónico no solicitado a nuestros usuarios, incluidos los mensajes de "phishing",
  - ejecutar o intentar ejecutar cualquier ataque de "Denegación de Servicio" o "Agotamiento de Recursos",
  - introducir software malicioso,
  - probar de forma que pueda degradar el funcionamiento de nuestros sistemas; o perjudicar, interrumpir o desactivar intencionadamente nuestros sistemas,
  - probar aplicaciones, sitios web o servicios de terceros que se integren en nuestros sistemas o se enlacen con ellos,
  - borrar, alterar, compartir, retener o destruir nuestros datos, o hacerlos inaccesibles,
  - utilizar un software de aprovechamiento (exploit) para extraer datos, establecer un acceso por línea de comandos, establecer una presencia persistente en nuestros sistemas o "saltar" a otros sistemas de Ledn.
- Usted reconoce y acepta que debe:
  - dejar de probar a petición de Ledn,
  - dejar de hacer pruebas y notificarnos inmediatamente al descubrir una vulnerabilidad,
  - dejar de hacer pruebas y notificarnos inmediatamente al descubrir una exposición de datos no públicos,
  - ver y almacenar datos no públicos sólo en la medida necesaria para documentar la presencia de una posible vulnerabilidad,
  - borrar cualquier dato no público almacenado después de informar de una vulnerabilidad.
Ámbito de Aplicación
- Los siguientes sistemas / servicios están dentro el ámbito de aplicación:
  - ledn.io
  - platform.ledn.io
Cualquier servicio no explícitamente listado anteriormente está excluido del ámbito de aplicación. Además, las vulnerabilidades encontradas en los sistemas de Ledn de nuestros proveedores quedan fuera del alcance de esta política y deben ser reportadas directamente al proveedor de acuerdo con su política de divulgación (si la hay).
- Los siguientes sistemas / servicios están fuera del ámbito de aplicación:
  - cuestiones relacionadas con AWS Cognito
  - https://ledn-resources.s3.amazonaws.com/ (los buckets S3 públicos no se consideran una vulnerabilidad cuando se utilizan para servir activos estáticos, que son públicos por naturaleza)
Informar sobre una Vulnerabilidad

Los informes de revelación pueden enviarse por correo electrónico a security@ledn.io.

Los informes deben proporcionar un resumen técnico detallado de la vulnerabilidad, una prueba de concepto cuando corresponda, así como las herramientas o software de aprovechamiento (exploits) necesarios para reproducir la vulnerabilidad. Su informe puede incluir archivos no ejecutables, preferiblemente en formato comprimido.

Los informes pueden presentarse de forma anónima, o con información de contacto con los métodos de comunicación preferidos si están abiertos a que nos pongamos en contacto con ellos para hacer preguntas de seguimiento sobre la divulgación. Los investigadores garantizan que ningún material incluido como parte de la revelación viola las leyes de propiedad intelectual y conceden a Ledn una licencia mundial no exclusiva y libre de derechos de autor para utilizar, reproducir, crear trabajos derivados y publicar la información incluida en el informe a perpetuidad.
Divulgación

En caso de que no podamos abordar adecuadamente la revelación de una vulnerabilidad de manera oportuna, le pedimos que se abstenga de divulgar públicamente cualquier información que pueda permitir a los atacantes aprovecharse de la vulnerabilidad durante al menos 180 días a partir de la fecha en que hayamos recibido la revelación de la vulnerabilidad. Si cree que la divulgación debe hacerse antes de que expire ese periodo, póngase en contacto con nosotros para coordinarnos de forma anticipada.

La información de contacto (si se proporciona) de los investigadores de seguridad no se compartirá con ninguna institución de terceros y puede eliminarse si se solicita.
Recompensas

Agradecemos su ayuda y asistencia. Para mostrar nuestra gratitud, ofrecemos recompensas económicas por los informes de vulnerabilidad que cumplan con esta política. Las cantidades de las recompensas serán a discreción de nuestro equipo de seguridad. Cualquier violación de esta política le hará inelegible para una recompensa.
Preguntas

Si usted tiene alguna pregunta o duda sobre esta política, sobre los métodos de prueba específicos que está considerando emplear o sobre lo que puede o no considerarse en el "Ámbito de Aplicación", por favor contacte a security@ledn.io. Animamos encarecidamente a los investigadores de seguridad a que se comuniquen con nosotros, ya que estamos comprometidos a abordar las cuestiones de seguridad y privacidad de forma adecuada y oportuna.

Última Actualización: 7/16/2021