Inicio/Política de divulgación de vulnerabilidades del Grupo Kistler

Política de divulgación de vulnerabilidades del Grupo Kistler

El Grupo Kistler agradece los comentarios de los investigadores de seguridad y del público en general para ayudar a mejorar nuestra seguridad. Si cree que ha descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos saber de usted. Esta política describe los pasos para informarnos de vulnerabilidades, lo que esperamos y lo que usted puede esperar de nosotros.

Sistemas en Alcance

Esta política se aplica a

  • Todos los productos del Grupo Kistler
  • Todos los sistemas del Grupo Kistler conectados a Internet
     
  • No consideramos que la mera ausencia de una característica de seguridad sea una vulnerabilidad de seguridad.
  • No estamos interesados en hallazgos que son comúnmente generados por escáneres automatizados tales como cabeceras HTTP faltantes, configuraciones TLS, banderas Cookie, Clickjacking, etc., excepto si usted puede usarlos para crear un exploit PoC significativo.

Fuera de alcance

Elementos generales fuera del alcance

  • Ataques de denegación de servicio
  • Ingeniería Social
  • Phishing
  • Acceso físico a instalaciones de Kistler o de socios de Kistler
  • Activos u otros equipos que no sean propiedad de las partes que participan en esta política

Las vulnerabilidades descubiertas o sospechadas en sistemas fuera del ámbito de aplicación deben comunicarse al proveedor adecuado o a la autoridad competente.

Elementos de alcance especial

  • www.kistler.com : Sitio web principal, sólo nos interesan las vulnerabilidades críticas como la ejecución remota de código (RCE)

Nuestros compromisos

Cuando trabaje con nosotros, de acuerdo con esta política, puede esperar de nosotros que

  • Respondamos a su informe con prontitud, y trabajemos con usted para comprender y validar su informe
  • Nos esforcemos por mantenerle informado sobre el progreso de una vulnerabilidad a medida que se procesa
  • Trabajemos para remediar las vulnerabilidades descubiertas de manera oportuna, dentro de nuestras limitaciones operativas
  • Ampliar el puerto seguro para su investigación de vulnerabilidades que esté relacionada con esta política

Nuestras expectativas

Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, le pedimos que

  • Juegue según las reglas, incluyendo el cumplimiento de esta política y cualquier otro acuerdo relevante. Si existe alguna incoherencia entre esta política y cualquier otro acuerdo aplicable, prevalecerán los términos de esta política
  • Informe rápidamente de cualquier vulnerabilidad que haya descubierto
  • Evite violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario
  • Utilizar únicamente los Canales Oficiales para discutir información sobre vulnerabilidades con nosotros
  • Realice las pruebas únicamente en los sistemas incluidos en el ámbito de aplicación, y respete los sistemas y actividades que estén fuera de dicho ámbito
  • Si una vulnerabilidad proporciona acceso involuntario a los datos: Limite la cantidad de datos a los que accede al mínimo necesario para demostrar eficazmente una Prueba de Concepto; y cese las pruebas y envíe un informe inmediatamente si encuentra datos de usuarios durante las pruebas, como Información de Identificación Personal (PII), Información Personal de Salud (PHI), datos de tarjetas de crédito o información propietaria
  • Sólo debe interactuar con cuentas de prueba de su propiedad o con permiso explícito del titular de la cuenta
  • No participe en extorsiones

Política de divulgación

Divulgación coordinada: Los detalles de la vulnerabilidad pueden ser compartidos con terceros después de que la vulnerabilidad haya sido corregida y el Propietario del Programa haya dado permiso para divulgarla.

Canales oficiales

Utilice nuestros canales oficiales para notificar problemas de seguridad, proporcionando toda la información pertinente. Cuantos más detalles nos proporcione, más fácil nos resultará clasificar y solucionar el problema.
Los canales oficiales son:

-----EMPEZAR BLOQUEO DE CLAVE PÚBLICA PGP-----

mQINBGBQmu0BEACmsvww2VIyQg8nnHe8YgpzL8SOLQ5SL3EWLxiddHQhCsIHXrQr
0r4X8OvKIRzCCIqzFx7n27JeM6onFPwmkeotQhEdtJkFlJtazzDoNrgqeZI8f9Ek
vjVRPRlO+/2bQcOBcYVn8oDHYdA65vSzEKyBy6CCJQVf5vc+DZp3rWWnr0HN7lt0
hYNIwLn9LkGFk80gQCm/qDlsJ6OrWyasTcX6uXqcQ0heUpdXUzLjiFfTyhnYsZlQ
A5NKAMWYj21gOj5J8doAojOOvLUPNKyOcdC9N+VJgQ7T8ecwS5CGGiOfvgwFDfmE
uU3AdnZHm39cOT15KQRCJAROUDxq1pnBJgdi9R+uG03FbLjs8HcDhGbLFijqVpb2
jPe1IuaRwJYwFmFS6nooaBt/1Sqs6Qh0kTiF0qQkfMF0I9QEl3mX1M0mm+FwuXWd
aqXQ0fhHKSKFi0JmaTOLh/tRnENWDfn4YCr/RvdDpx9ltv1tvSNn9HHFfVKPoDJx
LU+W4m0p28AHOFE9Xx/tpoba2TjjUEfORHqGJWYIvRrdBGAZ14/KlP0ZsvFbnyFq
E28fwmkiuLCjZQkCBENEQPqWNQf+RRhu8O76vz+/FlP+shm8ATzmteooM8yVnf/k
lBZ6DgdYNLoS3ibauJIUBpnJ+MElwJ143HUKntZGrc4Rc+EB6AZiu1lxhQARAQAB
tCdLaXN0bGVyIFNlY3VyaXR5IDxzZWN1cml0eUBraXN0bGVyLmNvbT6JAj4EEwEC
ACgFAmBQmu0CGwMFCRLLTwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEMl3
J8Nl6/NEeb8P/iIcJ0u+iRS7xNMEDiJb9KF+RW5lrSoLTA3IZdjzwZA9b7rn9LI7
h5vldgooy0TDxJNU3pYQjhgrLaYcFyY/C3ZCg1YoeENKq/7WROaaNd/ZvLVubXnh
lL7ACFZqnN+0guo7bNziUSzT7uwU7qBQ5viWI1cWjyCJr0pUuiF6Doo5OclSzdPP
XKqzo1MS8X5Q5QTKcKpafTT0OsLni5v+Ga5JGgDf4Srex8Wbrh9uYxi36CzOxTxV
NTOZP91ERN5Ov6ICQxOJ1CxqEjKzDpmlRa7STGKHIGmICT9ETpITEF7dHSrBr3zv
vo1qAe/JSOL+zKf/6VKP71ZeVQFKzMJ7rCZJ/QniJpmB/pnnx/0Xqo6C/Ec63lZZ
YDPlzE07ZOX6evpUDClONnLPX+XdjAVYlLmLZ+uRoHc/pG78GGlWBGLlH2qYb4CL
xU7+mRUakN9WOBlZTrIqbmDD285y45NIQHATnt6FUbJYx1SUv3MjatBDdmvoYjKu
eLQwxwBwiWGG09h1wpC0Ap7acJziJB+Xns9psJK658hM8An5uQI1eKxSsv5RVSqA
d4Qw5sZwHM6LwYZWmrgGZpS/xc9D7ikeHo6QX/H25TJqaSjsm4fkYIbl73WACGRv
kTRR0HIY0cSY5GLvwv8eDM3LcoM4xvqkX1pqg6wSFDX5S1TjiB3ovbKXuQINBGBQ
mu0BEADKK8IitzC+Q3UCNFjq9rEIl82R+Vb7RTeCuJGfB4ELTbXcl1aU84vhenSm
OBzZx55u1QWIBjxospCorI0SGfso270Vvjss6a9T5Ww2ZCru1m5WZz3AmJHLHF92
E4g1MYsqWrO6O5kw1QUR6qy2D4XCLm4paWCtmpFsDDu8N7UqFDT7ODz0UP5KObqs
lgWBUKitRPX+YywDqKxXBYUsVqVGgZ1XHll60PfqxzLJnZzuTXNfNVC9xY2KNJ+a
SjpVeV649pBxwsqPOcRHcH8APQ16lu6IKPMeNayMLQBKTKblzdmCWRrDWk3ZmvJ9
jaLToK9xbcDLLCuC4dh7cJqxLqjQFQC/uRURjdIWLhjw7p6gX366a4oziT8PuLqJ
gO1ceu5SEo68Z8PoPcUR8L3ObvsKmPDrtvJVhv5efHee+FAILrlkxDAe5gyh/0XE
YbWLvE1Y7QswMJ8tkAkt+d4y7RfIMWDeh2rg4MjQj852Vl4f8VaKI3zJC9ESXvm1
r36L5sL0QJ1xYJSvCoGL0OI82ocAnnWEqbeD23RglRp3Xzem9Tzbef9mc21BX8xz
JHiqzBRi26MwYAp9kwc/GThGTQeW9qtVIfVQqvFiMpyYjP219A0EbVY9z7lYWjYl
tvftLesBvWzG+PvirhR6gP931LOFW2X+EZrSRxBk+8qGomZb7wARAQABiQIlBBgB
AgAPBQJgUJrtAhsMBQkSy08DAAoJEMl3J8Nl6/NEZLYP/3+gDcaQQGuWDeHXVuG8
DeJ0y1BxEak7uCVGRweVVoq0eaWiHS0YUC9wrKnilUauNF+yoAcCu4YvvLwk4ide
lIyg/Ut2YwA0urLIR47+ikQx+p9gbp9AWFqPibs8VKOd8vYXaHLbvIwfezeiuoYA
nIESLtu3iZx5sXvQLA+qTAhEItukDh0rX4xhJqBWcNODvFOzmvGI1jVFy62zvgEk
n0FXHNfGffBcuFrsP5qZGawdRTQ40aO/+oo/yH80/nhEcH2jVi1iMdmF7JjxmVLU
uD4xt8aZosQxUHPSoM0CRqv5S4aeDjNNihrpuGsK5PBhDOvp083gqmw1/RSn8Ffr
iy8U4PaxOHEaiBoGwRYOf6XEAxGe9YH9jnuJhR1McoYBYXdSTwww7TpcWWJxa6V3
aPgYoYNhcON07jcx0jWsvsB8/SdFRywy/hBrmVd1CesEaCGlmSooF+gRuhvTG0L/
dXDy6/gaXROfNf2u1DVOse4W1sxHcSyksbp4jViqPUZsAJ/jXgxlzd5PhrJ20c/p
57TSkUv4Jgm75TqWrg7aCyFI1scvEUTHHOeSZ1yL4j61NsX9M6Ymu0cZnpc+tZQT
F6wDKMQ9XIcW934vbOlkdoHhhIpxHMPn42YV7GX6RhmBIQypFUveWGAGoYGtbjVv
aZjqZm+cpKto8bhLiaJx+uZK
=lVoV
-----FINALIZAR BLOQUEO DE CLAVE PÚBLICA PGP -----

Puerto Seguro

Al llevar a cabo la investigación de vulnerabilidades, de acuerdo con esta política, consideramos que esta investigación llevada a cabo bajo esta política es:

  • Autorizada en relación con cualquier ley antihackeo aplicable, y no iniciaremos ni apoyaremos acciones legales contra usted por violaciones accidentales y de buena fe de esta política
  • Autorizada en relación con cualquier ley antielusión pertinente, y no presentaremos una demanda contra usted por elusión de controles tecnológicos
  • Exento de las restricciones de nuestras Condiciones de servicio y/o Política de uso aceptable (AUP) que pudieran interferir con la realización de investigaciones de seguridad, y renunciamos a dichas restricciones de forma limitada
  • lícitas, útiles para la seguridad general de Internet y realizadas de buena fe

Se espera de usted, como siempre, que cumpla todas las leyes aplicables. Si un tercero inicia una acción legal contra usted y usted ha cumplido con esta política, tomaremos medidas para hacer saber que sus acciones se llevaron a cabo de conformidad con esta política.

Si en algún momento le preocupa o no está seguro de si su investigación de seguridad se ajusta a esta política, envíe un informe a través de uno de nuestros Canales Oficiales antes de seguir adelante.

Aviso legal

Kistler se reserva el derecho de modificar los términos y condiciones de esta política y su participación constituye la aceptación de todos los términos. Visite este sitio con regularidad, ya que actualizamos periódicamente los términos y condiciones de nuestra política, que entran en vigor en el momento de su publicación. Nos reservamos el derecho de cancelar esta política en cualquier momento.

Versión 24/03/2021