Programa de divulgación de vulnerabilidades

Como parte de nuestro compromiso para mejorar la seguridad de nuestra plataforma y servicios, valoramos la colaboración con la comunidad de investigación en seguridad. Para facilitar esta colaboración, hemos establecido una Política de divulgación de vulnerabilidades. Esta política anima a las personas a informarnos de cualquier vulnerabilidad descubierta, lo que nos permite abordar y mitigar rápidamente los posibles riesgos de seguridad.

Más información

Directrices para una divulgación responsable

Para mantener un entorno constructivo para la investigación sobre seguridad, le pedimos que siga estas directrices cuando realice investigaciones:

  • No realice ningún tipo de ataque de denegación de servicio (DoS) contra las aplicaciones, servidores, redes o infraestructuras de byrd.
  • Evite las pruebas que puedan provocar la degradación o interrupción de nuestros servicios.
  • Si utiliza escáneres o herramientas automatizadas, asegúrese de que funcionan de forma que no generen un tráfico de red excesivo (por ejemplo, limite las solicitudes a un máximo de una por segundo).
  • Abstenerse de filtrar, alterar o borrar cualquier dato o archivo del usuario dentro de nuestras aplicaciones o servidores.
  • No acceda ni divulgue ningún archivo de nuestras aplicaciones o servidores.
  • No permitimos ninguna forma de divulgación de vulnerabilidades, ya sea total, parcial o de otro tipo.
  • Evite enviar spam a través de los formularios de registro de nuestros sitios web, incluido el Portal de Soporte.
  • Utilice el agente de usuario "VDP name-at-email-dot-com" en todas las solicitudes basadas en web.

Orientación

Los investigadores de seguridad deben:

  • Acceda únicamente a la cantidad mínima de datos necesaria. Por ejemplo, 2 o 3 registros deberían bastar para demostrar la mayoría de las vulnerabilidades, como una enumeración o una vulnerabilidad de referencia directa a objetos.
  • Evite utilizar herramientas técnicas de exploración de seguridad invasivas o destructivas de alta intensidad para descubrir vulnerabilidades.
  • Respete la privacidad de los usuarios, personal, contratistas, servicios o sistemas de byrd. Por ejemplo, no comparta, redistribuya ni no proteja adecuadamente los datos obtenidos de nuestros sistemas o servicios.
  • No comunicar ninguna vulnerabilidad o detalles asociados a través de métodos no descritos en esta política.
  • Abstenerse de alterar los datos de los sistemas o servicios byrd.
  • No interrumpa los servicios o sistemas de byrd.
  • Evite participar en ingeniería social, ataques de "phishing" o ataques físicos contra el personal o la infraestructura de byrd.
  • No revelar ninguna vulnerabilidad en los sistemas o servicios de byrd a terceros o al público antes de que byrd haya confirmado que dichas vulnerabilidades han sido abordadas o corregidas. Esto no le impide notificar una vulnerabilidad a terceros para los que la vulnerabilidad sea directamente relevante, como cuando la vulnerabilidad se encuentra en una biblioteca o marco de software de terceros. Sin embargo, no haga referencia a detalles específicos de la vulnerabilidad en lo que respecta a byrd en dichos informes.
  • No exigir compensación económica por revelar vulnerabilidades.
  • Elimine de forma segura todos los datos recuperados durante la investigación tan pronto como ya no sean necesarios o en el plazo de 1 mes desde la resolución de la vulnerabilidad, lo que ocurra primero.

Alcance

Esta política de divulgación se aplica únicamente a las vulnerabilidades de los siguientes ámbitos DNS: *.getbyrd.com:

  • Las vulnerabilidades "del ámbito de aplicación" deben ser originales, no haber sido notificadas previamente y no haber sido descubiertas por procedimientos internos.
  • Las vulnerabilidades volumétricas no entran en el ámbito de aplicación, lo que significa que la simple saturación de un servicio con un gran volumen de solicitudes no entra en el ámbito de aplicación.
  • Los informes de vulnerabilidades no explotables o los informes que indiquen que nuestros servicios no se ajustan plenamente a las "mejores prácticas", por ejemplo la falta de cabeceras de seguridad, no entran en el ámbito de aplicación.
  • Los puntos débiles de la configuración TLS, por ejemplo, el soporte de conjuntos de cifrado "débiles" o la presencia de soporte TLS1.0, no están incluidos.

Qué esperar

Tras el envío de su informe de vulnerabilidad, normalmente puede esperar recibir un acuse de recibo en un plazo de 72 horas laborables a partir de la recepción.

Nuestro equipo clasificará la vulnerabilidad notificada y solicitará más información si es necesario. Esto incluye aclaraciones sobre si se necesitan detalles adicionales, si la vulnerabilidad entra dentro de nuestro ámbito de aplicación o si se trata de un informe duplicado. Si es necesaria una reparación, la tarea se asigna internamente a los miembros pertinentes del equipo.

Las correcciones o mitigaciones de errores se priorizan en función de la gravedad del impacto y la complejidad de la explotación. Tenga en cuenta que la clasificación y el tratamiento de los informes de vulnerabilidad pueden requerir cierto tiempo. Aunque le invitamos a informarse sobre el estado del proceso, le rogamos que se abstenga de hacerlo más de una vez cada 30 días. De este modo, nuestros equipos podrán dedicar toda su atención a la resolución de los informes.

Tras la resolución de la vulnerabilidad notificada o la programación de los trabajos de reparación, el equipo de divulgación de vulnerabilidades se lo notificará. También se le invitará a confirmar si la solución aborda adecuadamente la vulnerabilidad.

Calificación de las vulnerabilidades

Estamos en 2023 y suponemos que conoce los tipos de vulnerabilidades más comunes que pueden afectar a un negocio en línea. Siempre que el problema constituya un riesgo tangible para nuestra postura de seguridad, los datos de los clientes o similar, es probable que cumpla los requisitos. Por favor, comprenda que se trata de una decisión discrecional que tomamos caso por caso para cada informe entrante.

Ejemplos:

  • Inyección SQL (SQLi)
  • Secuencias de comandos en sitios cruzados (XSS)
  • Ejecución remota de código (RCE)
  • Referencia Directa a Objetos Insegura (IDOR)
  • Escalada horizontal y vertical de privilegios
  • Evasión de autenticación y autenticación rota
  • Vulnerabilidad de errores de lógica empresarial con impacto real en la seguridad
  • Acceso y manipulación de archivos locales (LFI, RFI, XXE, SSRF, XSPA)
  • Intercambio de recursos entre orígenes (CORS) con repercusiones reales en la seguridad
  • Falsificación de petición en sitios cruzados (CSRF) con impacto real en la seguridad

Legalidades

Esta política está alineada con las mejores prácticas ampliamente reconocidas para la divulgación de vulnerabilidades. No autoriza ninguna acción que sea ilegal o que pueda causar que byrd viole cualquier obligación legal, incluyendo pero no limitado a:

  • Ley sobre el uso indebido de ordenadores (1990)
  • El Reglamento general de protección de datos 2016/679 (RGPD) y la Ley de protección de datos de 2018
  • Ley de derechos de autor, dibujos y modelos y patentes (1988)
  • Ley de Secretos Oficiales (1989)

byrd afirma que no emprenderá acciones judiciales contra ningún investigador de seguridad que notifique una vulnerabilidad de seguridad en un servicio o sistema de byrd, siempre que el investigador haya actuado de buena fe y de conformidad con esta política de divulgación.

Notificar una vulnerabilidad

Si ha descubierto algo que cree que es una vulnerabilidad de seguridad dentro del ámbito de aplicación, primero debe comprobar los detalles anteriores para obtener más información sobre el ámbito de aplicación y, a continuación, enviar un informe de vulnerabilidad por correo electrónico a security@getbyrd.com.

En su presentación, incluya detalles de:

  • El sitio web o la página donde puede observarse la vulnerabilidad.
  • Una breve descripción del tipo de vulnerabilidad, por ejemplo una "vulnerabilidad XSS".

Siempre que sea posible, su informe debe contener pruebas de explotación benigna y no destructiva. Esto ayuda a evaluar el informe con rapidez y precisión, a la vez que disminuye el riesgo de envíos duplicados o de explotación maliciosa de vulnerabilidades, como la apropiación de subdominios.

Más información sobre la seguridad en Byrd

Sus datos son nuestra responsabilidad.

Todo de un vistazo

Más información sobre la seguridad en Byrd. Conozca al equipo responsable de la seguridad.
Más información.

Visión general

seguridad en byrd#.

Seguridad de Byrd

Cómo protegemos nuestro lugar de trabajo digital, la infraestructura y las aplicaciones, los datos y mucho más. Más información.

Seguridad de Byrd

Preguntas frecuentes

Uno de los principios de diseño de seguridad de Byrd es la transparencia. Hemos recopilado las preguntas más frecuentes. Más información

Preguntas frecuentes

Imagen en blanco y negro de personas buscando en el ordenador.
Visto en
Servicios
FulfillmentNuevas empresasMinoristas establecidosEmpresasPara alimentos y bebidasBelleza y saludPara aparatos eléctricosSuministros para mascotasAccesorios y joyeríaPortal de devoluciones personalizadoLogística Prime Satisfecha por el Vendedor
Integraciones
Visión generalAmazon FBMBillbeeChannelEngineMiraklPlentymarketsPrestaShopShopifyShopwareWooCommerceXentraleBayProcuros
Ubicaciones
Red europea de distribuciónCentro de distribución en AustriaFulfilment Centre FranciaCentro de distribución en AlemaniaCentro de distribución en Países BajosFulfillment Center ItaliaCentro de distribución en EspañaReino Unido
Empresa
Conócenos
SostenibilidadBlogNuestros clientesPulseÚnete al equipoSocios
Enlaces adicionales
Condiciones generalesPolítica de privacidadPie de imprentaComunícate con nosotrosCentro de confianzaAyuda
Pie de imprentaPolítica de privacidad
Cookies
Condiciones generalesComunícate con nosotrosAyuda
© Año - byrd technologies GmbH