Política de comunicación de vulnerabilidades

BORA Vertriebs GmbH & Co KG se esfuerza de forma constante para poder ofrecer a sus clientes productos y servicios de máxima calidad y fiabilidad. Con este objetivo, comprobamos todos los problemas de seguridad que eventualmente identifican e informan expertos externos, socios o clientes.

La siguiente normativa se aplica a todas las fallas de seguridad que quiera informarnos. Le recomendamos leer toda la normativa y actuar según las disposiciones pertinentes. De este modo, se podrá garantizar que las fallas de seguridad se identifiquen y traten de forma adecuada. BORA Vertriebs GmbH & Co KG aprecia el tiempo y esfuerzo dedicados a informar fallas de seguridad. Sin embargo, es importante mencionar que los procedimientos de BORA Vertriebs GmbH & Co KG no prevén compensaciones monetarias por informar fallas de seguridad.

Si cree haber encontrado una falla de seguridad, le solicitamos que la informe a través del enlace a continuación o por correo electrónico, indicando los siguientes datos:

URL o IP con la que puede encontrarse la vulnerabilidad.
Breve descripción del tipo de falla de seguridad (ejemplo: «vulnerabilidad XSS»).
Pasos para la reproducción con una prueba de concepto benévola y no destructiva. De este modo, podremos responder al informe de manera rápida y precisa. Asimismo, esto disminuye la probabilidad de que haya fallas informadas de manera duplicada o de que se exploten ciertas vulnerabilidades con mala fe, como, por ejemplo, al apropiarse de subdominios.

Al recibir su informe, comenzamos a investigar la vulnerabilidad o la falla de seguridad para poder solucionarla. Nuestros esfuerzos se centran en responder a su informe en el transcurso de 10 días laborables y analizarlo y solucionarlo dentro de 14 días laborables. Asimismo, le mantendremos al corriente también sobre nuestros avances. La prioridad de la resolución de las fallas informadas se establece según las repercusiones, la gravedad y la complejidad de la vulnerabilidad. Para reconocer el esfuerzo de quienes informan estas fallas, con su previa autorización, les incluimos en nuestra página de agradecimientos.

Directivas

Prohibiciones:

Violar leyes o disposiciones vigentes.
Acceder a un número de datos innecesario, excesivo o sustancial.
Modificar datos en los sistemas o servicios de la organización.
Utilizar herramientas de escaneado invasivas o destructivas con una intensidad elevada para buscar vulnerabilidades.
Realizar intentos o informes de cualquier tipo para afectar la disponibilidad de un servicio (por ejemplo, sobrecargar un servicio con un número elevado de consultas).
Interferir servicios o sistemas de la organización.
Enviar informes con vulnerabilidades que no puedan explotarse o con referencia a servicios que no cumplan por completo con las prácticas recomendadas (por ejemplo, falta de encabezados de seguridad).
Enviar informes sobre vulnerabilidades en la configuración TLS (por ejemplo, compatibilidad de una suite de cifrado «débil» o compatibilidad con TLS 1.0).
Compartir vulnerabilidades o detalles relacionados con ellas de un modo distinto al descrito en el archivo security.txt publicado.
Realizar ingeniería social, «phishing» o ataques físicos al personal o a la infraestructura de la organización.
Exigir una compensación económica por la comunicación de vulnerabilidades.

Obligaciones:

Respetar siempre las disposiciones en materia de protección de datos y no violar la esfera personal de usuarios, personal, proveedores, servicios o sistemas de la organización. Está prohibido, por ejemplo, divulgar, transferir o asegurar de forma inapropiada datos extraídos de sistemas o servicios.
Eliminar de manera segura todos los datos a los que se haya accedido en el marco de las investigaciones, una vez que ya no se necesiten o en el transcurso de un mes desde la resolución de la vulnerabilidad (lo que suceda primero), o como lo establezca la legislación de protección de datos pertinente.

Cuestiones legales

La presente normativa está elaborada de manera que no se aplique la legislación penal a aquellas personas que detecten fallas de seguridad respetando las instrucciones descritas.

Informe de vulnerabilidades

Si encuentra vulnerabilidades en sistemas informáticos o aplicaciones web de BORA Vertriebs GmbH & Co KG o productos comercializados por BORA Vertriebs GmbH & Co KG, le solicitamos que nos notifique al respecto. Al recibir su informe, adoptaremos medidas de inmediato para resolver las vulnerabilidades encontradas lo más pronto posible.

A continuación, le detallamos el procedimiento para informar vulnerabilidades:

Antes de notificarnos, infórmese acerca de las situaciones no incluidas en el ámbito de validez de nuestra Política de comunicación de vulnerabilidades y que no se tratarán dentro de este marco.
Envíe los resultados del problema de seguridad por correo electrónico a security@bora.com.
No explote la vulnerabilidad o el problema, por ejemplo, al descargar, modificar o eliminar datos o cargar código.
No transmita información sobre la vulnerabilidad a terceros u otras entidades, a menos que BORA Vertriebs GmbH & Co KG lo haya autorizado de manera explícita.
No realice ataques a nuestros sistemas informáticos que comprometan, modifiquen o manipulen infraestructura y personas.
No realice ingeniería social (por ejemplo, «phishing»), ataques de denegación de servicio (distribuidos), spam u otros ataques a BORA Vertriebs GmbH & Co KG.

Compártanos información suficiente para que podamos reproducir y analizar el problema. Incluya en su informe también algún dato de contacto por si tenemos alguna pregunta.