Política de Divulgación de Vulnerabilidades
1. Acerca de este documento
Este documento describe la Política de Divulgación de Vulnerabilidades de Tupl, Inc., una corporación de Delaware, en adelante “Tupl”. Detalla cómo informar sobre posibles vulnerabilidades de seguridad en los sistemas y servicios de Tupl e incluye directrices para la ciberseguridad ética, el alcance de los informes en el ámbito y fuera de él, y nuestro compromiso con la protección legal y la confidencialidad para los investigadores. Esta política asegura que las vulnerabilidades se informen y se aborden de manera responsable.
Si crees que has encontrado una vulnerabilidad de seguridad en uno de los sitios web de Tupl o en las aplicaciones de Tupl, te agradecemos de antemano que nos lo hagas saber de inmediato. Investigaremos todos los informes legítimos y nos esforzaremos por resolver cualquier problema de seguridad de manera rápida.
A continuación, encontrarás la mejor manera de informar sobre una vulnerabilidad de seguridad. Si deseas informar sobre un problema de privacidad, por favor contacta a nuestro oficial de privacidad como se describe en Política de Privacidad de Tupl.
Esta política debe ser leída y entendida antes de realizar cualquier investigación de seguridad o presentar informes. El cumplimiento de esta política es obligatorio para asegurar que las vulnerabilidades de seguridad se informen y se manejen de manera responsable, protegiendo tanto a los investigadores como a Tupl.
2. Recompensas
Tupl actualmente no ofrece un programa de recompensas; por lo tanto, no habrá compensación, recompensa ni reconocimiento público por la presentación de posibles vulnerabilidades.
Al presentar una vulnerabilidad, reconoces que no tienes expectativas de pago y que renuncias expresamente a cualquier reclamación de pago futura contra Tupl relacionada con tu presentación.
3. Autorización
Si haces un esfuerzo de buena fe para cumplir con esta política durante tu investigación de seguridad, Tupl considerará tu investigación como autorizada, trabajará contigo para entender y resolver el problema rápidamente, y Tupl no recomendará ni perseguirá acciones legales relacionadas con tu investigación. Si una tercera parte inicia acciones legales contra ti por actividades realizadas de acuerdo con esta política, haremos conocer esta autorización.
No perseguiremos acciones legales, ni iniciaremos una denuncia ante la ley, contra el investigador que actúe de buena fe. Sin embargo, Tupl se reserva todos los derechos legales en caso de incumplimiento de las Directrices para Operar de Buena Fe que siguen.
4. Directrices para operar de buena fe
Según esta política, “investigación” significa actividades en las que tú:
- Nos notificas lo antes posible después de descubrir un problema de seguridad real o potencial
- Evitas acciones disruptivas contra los sistemas de Tupl. Haz todo lo posible para evitar violaciones de privacidad, degradación de la experiencia del usuario, interrupción de sistemas de producción, y destrucción o manipulación de datos
- Mantienes la información relacionada con la vulnerabilidad descubierta confidencial
- Evitas violaciones de privacidad o cualquier destrucción, modificación o exfiltración de datos de Tupl
- Usas exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No uses un exploit para comprometer o exfiltrar datos, establecer acceso persistente a la línea de comandos, o usar el exploit para pivotar hacia otros sistemas
- No envías informes de baja calidad
Una vez que hayas establecido que existe una vulnerabilidad o encuentres datos sensibles (incluyendo información de identificación personal, información financiera o información confidencial o secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.
5. Informes Fuera de Alcance y Hallazgos No Elegibles
Al informar sobre vulnerabilidades potenciales, considera (1) escenarios de ataque realistas, y (2) el impacto de seguridad del comportamiento. A continuación, encontrarás los falsos positivos más comunes. Los siguientes problemas serán ignorados como inválidos, excepto en raras circunstancias en las que se demuestre un impacto de seguridad claro.
Las siguientes vulnerabilidades están fuera de alcance para la presentación bajo la Política de Divulgación de Vulnerabilidades:
- Técnicas de spam o ingeniería social (por ejemplo, phishing, vishing, etc.)
- Pruebas de denegación de servicio (DoS o DDoS) o cualquier otra prueba que perjudique el acceso a o dañe un sistema o datos
- Compromiso de credenciales mediante fuerza bruta
- Vulnerabilidades teóricas que requieran una interacción o circunstancias poco probables (por ejemplo, que solo afecten a usuarios de navegadores o sistemas operativos no soportados o EoL)
- Problemas de suplantación de contenido e inyección de texto (por ejemplo, inyección de contenido publicando contenido en sitios web de Tupl)
- Secuestro de enlaces rotos, tabnabbing
- ataques que requieren acceso físico a un dispositivo (a menos que esté explícitamente en el alcance)
- Auto-explotación, como self-XSS o self-DoS (a menos que pueda ser utilizado para atacar otra cuenta)
- Vulnerabilidades teóricas sin un impacto de seguridad en el mundo real demostrado. Por ejemplo:
- Clickjacking en páginas sin acciones sensibles
- Cross-Site Request Forgery (CSRF) en formularios sin acciones sensibles (por ejemplo, Cerrar sesión)
- Configuraciones de CORS permisivas sin un impacto de seguridad demostrado
- Divulgación de versión de software / Problemas de identificación de banner / Mensajes de error o encabezados descriptivos (por ejemplo, trazas de pila, errores de aplicación o servidor)
- Inyección de valores separados por comas (CSV)
- Redirecciones abiertas (a menos que puedas demostrar un impacto de seguridad adicional)
- Pasos de fortalecimiento de seguridad opcionales / Falta de mejores prácticas. Por ejemplo:
- Configuraciones SSL/TLS
- Falta de pinning SSL
- Falta de detección de jailbreak en aplicaciones móviles
- Manejo de cookies (por ejemplo, falta de banderas HttpOnly/Secure)
- Opiniones sobre la configuración de Content-Security-Policy
- Características de seguridad por correo electrónico opcionales (por ejemplo, configuraciones SPF/DKIM/DMARC)
- La mayoría de los problemas relacionados con la limitación de tasa
- Vulnerabilidades que pueden requerir pruebas peligrosas. Este tipo de pruebas nunca debe intentarse a menos que esté explícitamente autorizado:
- Problemas relacionados con tráfico/solicitudes excesivas (por ejemplo, DoS, DDoS)
- Cualquier otro problema donde las pruebas puedan afectar la disponibilidad de los sistemas
- ataques de ingeniería social (por ejemplo, phishing, apertura de solicitudes de soporte)
- ataques que son ruidosos para los usuarios o administradores (por ejemplo, envío de notificaciones o formularios)
- ataques contra instalaciones físicas o robo de dispositivos
- Cualquiera otra prueba de vulnerabilidades no técnicas
6. Sistemas dentro del Alcance
Esta política se aplica a los siguientes sistemas y servicios:
- *.agroadvisor.com
- *.tupl.com
- *.tupl.io
- *.tuplos.com
Cualquier servicio no expresamente mencionado anteriormente, como cualquier servicio conectado, está excluido del alcance y no está autorizado para pruebas. Además, las vulnerabilidades encontradas en sistemas de nuestros proveedores caen fuera del alcance de esta política y deben ser reportadas directamente al proveedor de acuerdo a su política de divulgación (si la hay). Si no estás seguro de si un sistema está dentro del alcance o no, contáctanos en cybersecurity.support@tupl.com antes de comenzar tu investigación (o en el contacto de seguridad para el nombre de dominio del sistema que figura en el WHOIS).
Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles por Internet, pedimos que la investigación activa y las pruebas se realicen solo en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema en particular que no está en el alcance que crees que merece ser probado, por favor contáctanos para discutirlo primero.
7. Información de Contacto
Para divulgar una vulnerabilidad potencial, envía un correo electrónico a: cybersecurity.support@tupl.com. No compartiremos tu nombre ni tu información de contacto sin permiso expreso y la mantendremos confidencial. Si prefieres permanecer en el anonimato, considera utilizar el canal de informes y comentarios anónimos en la página web de Tupl.
Para ayudarnos a clasificar y priorizar presentaciones, por favor proporciona:
- Nombre del sitio, producto o servicio y versiones afectadas cuando sea aplicable
- Un host identificado o su interfaz de red
- Descripción del problema
- Información de tiempo o temporal sobre cuándo se descubrió la vulnerabilidad
- Clase o tipo de vulnerabilidad, opcionalmente usando una taxonomía como CWE (Common Weakness Enumeration)
- Causa raíz (o CVE si se conoce)
- Código de prueba de concepto u otra evidencia sustancial (scripts, capturas de pantalla, etc.)
- Herramientas y pasos para reproducir el comportamiento vulnerable
- Estimación de impacto y gravedad
- Cualquier información que consideres necesaria para localizar y resolver la vulnerabilidad lo más rápido y eficientemente posible
- Si es posible, se prefieren correos electrónicos en inglés.
La información enviada bajo esta política se utilizará solo con fines defensivos para mitigar o remediar vulnerabilidades. Si tus hallazgos incluyen vulnerabilidades recién descubiertas que afectan no solo a Tupl sino a todos los usuarios de un producto o servicio, podemos compartir tu informe con la agencia de ciberseguridad y seguridad relevante, donde se manejará bajo su proceso de divulgación coordinada de vulnerabilidades. No compartiremos tu nombre ni tu información de contacto sin permiso expreso.
8. Tiempo de Respuesta
Si tu informe incluye una dirección de correo electrónico de contacto, nos comprometemos a acusar recibo de tu informe de vulnerabilidad dentro de 5 días hábiles y te mantendremos informado sobre el progreso de nuestra investigación y proporcionaremos actualizaciones según sea necesario hasta que el problema se resuelva.
9. Divulgación Pública
Te solicitamos que no divulgues públicamente los detalles de ninguna vulnerabilidad potencial sin el consentimiento escrito expreso de Tupl Inc. Nuestro objetivo es resolver y remediar las vulnerabilidades de forma rápida, y la divulgación pública podría afectar negativamente a los clientes que no han actualizado y aún están ejecutando una versión vulnerable.
10. Revisión y Actualizaciones de la Política
Esta política será revisada y actualizada anualmente o según sea necesario para asegurar que se mantenga actualizada con las prácticas de seguridad en evolución.