Resumen
En Edovia, la seguridad es nuestra prioridad y agradecemos los informes responsables sobre vulnerabilidades, tanto de investigadores de seguridad como del público. Si cree haber encontrado un problema de seguridad, una preocupación sobre la privacidad o datos expuestos en nuestros productos o servicios, le animamos a que lo comparta con nosotros. Este documento describe cómo informar sobre problemas de seguridad, nuestros compromisos y expectativas.
Alcance
Esta política se aplica a:
- Software y productos de Edovia
- Servicios e infraestructura operados por Edovia
- Documentación relacionada con nuestros productos
Exclusiones
Los siguientes tipos de informes quedan fuera del alcance de esta política:
- Problemas de seguridad física (p. ej., acceso a la oficina, entrada no autorizada)
- Ataques de ingeniería social (p. ej., phishing, intentos de suplantación de identidad)
- Problemas en sistemas no mencionados explícitamente en la sección "Alcance"
- Problemas estéticos (p. ej., errores de interfaz de usuario/experiencia de usuario sin impacto en la seguridad)
- Errores tipográficos
- Vulnerabilidades de denegación de servicio (DoS/DDoS)
- Servicios de terceros no gestionados por Edovia
Si descubre un problema en un sistema fuera del alcance, le recomendamos que lo informe al proveedor u organización correspondiente.
Qué puede esperar de nosotros
Cuando informe de buena fe sobre un problema de seguridad válido, haremos lo siguiente:
- Acusar recibo de su informe y comenzar la evaluación lo antes posible
- Mantenerlo informado sobre el estado de su informe mientras se revisa
- Trabajar para resolver las vulnerabilidades de seguridad según su gravedad e impacto
- Brindar protección de puerto seguro cuando la divulgación siga las directrices de esta política
Directrices de divulgación responsable
Para garantizar un proceso de divulgación responsable y eficaz, le solicitamos que:
- Seguir esta política y cualquier término aplicable al investigar problemas de seguridad
- Informar de los hallazgos con prontitud y evitar acciones que puedan interrumpir los servicios o a los usuarios
- Limitar las pruebas a lo necesario para demostrar un problema
- Utilizar los canales oficiales para comunicar los problemas de seguridad
- Darnos un plazo razonable para abordar el problema antes de la divulgación pública
- Probar únicamente los sistemas dentro del alcance y evitar cualquier objetivo explícitamente excluido
- Utilizar cuentas de prueba de su propiedad o con permiso explícito para usar
- Abstenerse de cualquier acción que pueda interpretarse como extorsión o exigencia de compensación
Informe de problemas de seguridad
Para informar un problema de seguridad, por favor Utilice el siguiente canal oficial:
https://edovia.com/.well-known/security.txt
Cuantos más detalles proporcione, más rápido podremos evaluar y abordar el problema.
Puerto Seguro
Si realiza una investigación de seguridad de buena fe y de acuerdo con esta política, haremos lo siguiente:
- Considerar su investigación autorizada por las leyes antipiratería informática aplicables
- No emprenderemos acciones legales por infracciones involuntarias de las políticas
- No aplicaremos leyes antielusión a sus pruebas
- Trataremos sus hallazgos como un esfuerzo para mejorar la seguridad, no como una infracción de nuestros términos
Si un tercero emprende acciones legales contra usted por una investigación que se ajusta a esta política, le comunicaremos que sus acciones siguieron los principios de divulgación responsable.
Si no está seguro de si sus pruebas se ajustan a esta política, póngase en contacto con nosotros antes de continuar.
Nota: El Puerto Seguro se aplica únicamente a reclamaciones legales bajo el control de Edovia y no se extiende a terceros independientes.
Programa de recompensas
Tenga en cuenta que Edovia no participa en programas de recompensas ni bug bounties. Agradecemos los informes responsables de vulnerabilidades, pero actualmente no ofrecemos compensación monetaria ni otros incentivos.