Divulgación de vulnerabilidades y programas de recompensas por errores
Comprometidos a mantener los más altos estándares de seguridad
Operamos un Programa de Divulgación de Vulnerabilidades (VDP, por sus siglas en inglés) y programas de recompensas por errores para fomentar la notificación responsable de vulnerabilidades de seguridad.Estos programas están diseñados para fomentar un enfoque colaborativo de la seguridad, garantizando que los datos y la privacidad de nuestros usuarios estén protegidos.
- Programa de Divulgación de Vulnerabilidades (VDP, por sus siglas en inglés): Este programa está abierto al público y permite a los investigadores de seguridad informar sobre las vulnerabilidades que descubran en nuestros sistemas y aplicaciones. Agradecemos tus esfuerzos por ayudarnos a mejorar nuestra postura de seguridad. Ten en cuenta que no se ofrecen recompensas.
- Programa Privado de Recompensas por Errores: Además de nuestro VDP, llevamos a cabo un programa privado de recompensas por errores en el que se invita a investigadores seleccionados a probar nuestros activos y se les recompensa por reportes de vulnerabilidad válidos. Este programa es solo por invitación.
Puerto seguro legal
Consideramos que las actividades que se adhieren a este programa están autorizadas y no emprenderemos acciones legales en tu contra por revelar vulnerabilidades de manera responsable. En caso de que un tercero inicie acciones legales en tu contra, y siempre que hayas cumplido con este programa, tomaremos las medidas adecuadas para informar a las autoridades pertinentes de que tus acciones se llevaron a cabo de acuerdo con nuestras directrices.
Alcance del Programa de Divulgación de Vulnerabilidades
Nuestro equipo investigará y trabajará en las vulnerabilidades que afecten a los productos que se mantienen según nuestro Ciclo de Vida de un Producto. Además de los productos, los siguientes dominios también se encuentran actualmente en este ámbito:
- *.clearance.network
- *.clearid.io
- *.genetec.cloud
- *.genetec.com
- login.genetec.com
- *.genetec.one
- *.geneteccloud.com
- *.autovu.com
- *.autovu.cloud
- *.ops.center
¿Qué vulnerabilidades puedes reportar en el Programa de Divulgación de Vulnerabilidades?
Vulnerabilidades que califican
- Fallos de autenticación
- Evasión de nuestra plataforma/modelos de permisos de privacidad
- Elevación de privilegios
- Secuencias de comandos entre sitios (XSS)
- Falsificación de solicitud entre sitios (CSRF/XSRF)
- Ejecución remota de código
- Inyección SQL
- Inclusión de archivos locales
- Referencia directa a objetos insegura
- Falsificación de solicitudes del lado del servidor
Vulnerabilidades fuera del alcance
- Vulnerabilidades que dependen de la ingeniería social (esto incluye los ataques de phishing contra empleados de Genetec)
- Ataques de denegación de servicio (DOS)
- Intentos físicos contra la propiedad o los centros de datos de Genetec
- Ataque que asume el control administrativo de una máquina de servicio
- Falta de mejores prácticas sin impacto demostrable en la seguridad (es decir, falta de encabezados HTTP, configuración SSL/TLS, etc.)
- Cookies inseguras para cookies no confidenciales o cookies de terceros
- Envío de XSS ciegos por correo electrónico o spam a los empleados de Genetec
- Paquetes vulnerables de terceros sin prueba de concepto (p. ej., jQuery)
- Falta el registro DNS CAA