Política de Divulgación.
El presente documento viene a señalar la política de divulgación de VULNSCOPE a través www.vulnscope.com. El Usuario, al suscribirse en nuestro sitio, acepta cumplir con todas las leyes, estatutos, ordenanzas y regulaciones nacionales e internacionales aplicables con respecto a su uso en nuestro sitio web. VULNSCOPE, se reserva el derecho de investigar quejas o violaciones informadas de nuestros Términos legales y de tomar cualquier medida que consideremos apropiada, que incluye, pero no se limita a las señaladas en el ANEXO DE INHABILITACIÓN Y/O SUSPENSENCION DE USUARIOS, informar cualquier actividad sospechosa o ilegal a los órganos o instituciones encargados de hacer cumplir la ley. El presente documento, se entenderá para todos los efectos como una anexo y forma parte integra de TERMINOS Y CONDICIONES GENERALES
1. -Propiedad intelectual e Industrial.
Nuestro sitio web puede contener nuestras marcas de productos o servicios o marcas comerciales de nuestro Usuarios, así como de Terceros, en forma de palabras, gráficos y logotipos. El uso de nuestro sitio web no constituye ningún derecho o licencia para que el Usuario utilice dichas marcas de servicios o productos que sean marcas registradas, sin la autorización previa por escrito del propietario o titular de la marca registrada correspondiente. La copia, redistribución, uso o publicación por cualquier usuario de cualquier parte de nuestro sitio web está estrictamente prohibida. La calidad de usuario de nuestro sitio web no otorga derechos de propiedad de ningún tipo en nuestro sitio web.
2.- No exclusividad.
Ninguna disposición del presente documento, así como de los términos y condiciones generales o demás anexos, se interpretará como que existe una relación exclusiva de ningún tipo entre VULNSCOPE con algún Usuario en particular.
Las partes no pretenden que se cree relación de agencia o sociedad alguna entre ellas en virtud de este Contrato.
3.- Prestación de servicios
VULNSCOPE deja expresa constancia, que la aceptación de los términos y condiciones generales, así como de sus respectivos anexos, no crea relación laboral alguna, ni vínculo de subordinación o dependencia entre el Usuario, específicamente con el Security Researcher, no se generará de forma alguna subordinación y dependencia de ésta, por lo que VULNSCOPE y el Security Researcher no serán, ni podrán ser considerados como empleador y trabajador dependiente respectivamente, para ningún efecto directo o indirecto.
Como consecuencia de lo anterior, VULNSCOPE no contrae obligación alguna por concepto de pago de remuneraciones, sueldos, salarios, asignaciones, gratificaciones, cotizaciones previsionales y/o de salud, indemnizaciones u otras obligaciones laborales, asistenciales, previsionales y de prevención de riesgo más que la contraprestación por la gestión encargada, VULNSCOPE no asume responsabilidad alguna por cualquier accidente, enfermedad o impedimento que pudiera sufrir el Usuario, con ocasión del cumplimiento la gestión de detección de vulnerabilidad de sistema encargada, materia sobre la cual éste asume la completa y total responsabilidad.
4.- Proceso.
Al momento de que el Security Researcher, válidamente registrado, logre identificar una vulnerabilidad, deberá completar el reporte de vulnerabilidad disponible en la plataforma de VULNSCOPE, asociado al programa en el cual estás participando.
El reporte deberá estar alineado con las especificaciones del programa que el Security Researcher acepta, el informe debe incluir una descripción clara, detallada, concisa e ilustrada, basada en un error repetible.
Si el equipo administrador del programa requiere más información sobre un reporte, se contactará directamente con el Security Researcher vía correo o a través del chat del programa. Para cumplir con nuestra política de divulgación, es necesario completar el reporte con toda la información solicitada.
5.- Reglas generales.
Las siguientes reglas son generales y se aplican a todos los programas de VULNSCOPE.
- El reporte deberá incluir una descripción clara de la vulnerabilidad, del sistema afectado, su impacto, nivel de riesgo y una prueba de concepto pertinente. Toda la información, que permita entender los distintos pasos del ataque y repetirlo, es evaluada positivamente.
- Las pruebas realizadas deben enfocarse en los targets definidos por la Empresa.
- Las vulnerabilidades sólo serán recompensadas si han sido reportadas a través de la plataforma de Vulnscope.
- Todos los comentarios sobre un reporte se deben hacer a través de los canales de comunicación oficiales de Vulnscope: A través del chat de la plataforma o por correo: soporte@vulnscope.com
- Si la información adicional requerida por el equipo a cargo de la revisión del reporte no está proporcionada en un plazo máximo de 10 días, el reporte será cerrado y considerado como inválido.
- Las pruebas realizadas sobre el sistema de la Empresa se deben realizar de forma controlada, sin afectar la disponibilidad, confidencialidad e integridad de los datos de la Empresa.
- Las pruebas de concepto pueden ser a través de pantallazos o videos. En el caso de que sea un video, su tamaño no debería exceder los 50 MB.
- La fecha y el plazo de divulgación debe ser definido entre la Empresa y el Security Researcher.
- En el caso de realizar una doble actividad remunerada, el Security Researcher es responsable de manejar el cumplimiento laboral con su empleador y las obligaciones que contrae por medio de VULNSCOPE.
6.- Prohibido.
Se entenderán como conductas prohibidas al Security Researcher las siguientes:
- La información relacionada con el programa y los resultados obtenidos no se pueden ni deben comunicar a personas externas que no están directamente involucradas en el servicio de VULNSCOPE.
- No se puede ni debe divulgar una vulnerabilidad sin la aprobación explícita (Por correo) de la Empresa y de VULNSCOPE.
- No se puede ni debe divulgar una vulnerabilidad a terceros, o en otros medios, aun cuando haya sido validada y mitigada por la Empresa.
- Está prohibido realizar cambios en el sistema evaluado y compartir con terceros el acceso al sistema.
- Está prohibido realizar ataques de fuerza bruta, ingeniería social, intrusión física y spam.
- Está prohibido subir vulnerabilidad o contenido relacionado con la Empresa a utilidades de terceros (Por ejemplo, Github, DropBox o YouTube).
- Si sospechas de un D / DoS de capa de aplicación, ponte en contacto con soporte@vulnscope.com para revisar la vulnerabilidad y pedir permiso a la Empresa. Se encuentra prohibidos realizar ataques DoS de capas de aplicación sin el consentimiento previo de VULNSCOPE.
- Si el Security Researcher logra obtener acceso a un sistema, cuentas, usuarios o datos de usuario, deberá detenerse y generar un reporte.
- El Security Researcher no deberá bucear más profundo para determinar cuánto más es accesible.
- Lenguaje inapropiado en la elaboración y/o redacción de los informes de vulnerabilidad de sistemas
- Si el Security Researcher es detectado intentando perjudicar a la Empresa a través de operaciones no programadas o convenidas.
- Vulneración de las normas de confidencialidad.
7.- Inelegible:
- Códigos o páginas http 404
- Clickjacking
- Enumeración UUID
- CSV injection
- Cross Site Request Forgery (CSRF) con impacto limitado
- Problemas de captcha con impacto limitado
- Reportes de escaneos SSL/TLS
- Reportes especulativos con impacto teórico sin prueba de concepto
- Vulnerabilidades reportadas a través de un escaneo automatizado sin análisis adicional profundo
- Falta de cookies en lugares no autorizados
- Extraer la versión del sistema
- Errores de Debug o revelación de la ruta del sistema (Path disclosure)
- Puertos abiertos sin prueba de concepto
En ciertos casos, la Empresa puede incluir su propia política de divulgación de la información en el alcance del programa, por lo cual es fundamental leer con atención la descripción de su proyecto.
Las vulnerabilidades reportadas, que están fuera del ámbito del programa, no serán analizadas ni recompensadas.