# Traiga su política de divulgación de vulnerabilidades de LLC

## Introducción

Bring Your, LLC agradece los comentarios de los investigadores de seguridad y del público en general para ayudar a mejorar nuestra seguridad. Si cree que ha descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos saber de usted. Esta política describe los pasos para informarnos sobre vulnerabilidades, lo que esperamos y lo que usted puede esperar de nosotros.

## Sistemas en alcance

Esta política se aplica a cualquier activo digital que Bring Your, LLC posea, opere o mantenga.

## Fuera de alcance

- Activos u otros equipos que no sean propiedad de las partes participantes en esta póliza.

Las vulnerabilidades descubiertas o sospechadas en sistemas fuera de alcance deben informarse al proveedor correspondiente o a la autoridad aplicable.

## Nuestros Compromisos

Al trabajar con nosotros, de acuerdo con esta política, puede esperar que:

- Responder a su informe con prontitud y trabajar con usted para comprender y validar su informe;

- Esforzarse por mantenerlo informado sobre el progreso de una vulnerabilidad a medida que se procesa;

- Trabajar para remediar las vulnerabilidades descubiertas de manera oportuna, dentro de nuestras limitaciones operativas; y

- Ampliar Safe Harbor para su investigación de vulnerabilidades relacionadas con esta política.

## Nuestras expectativas

Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, le pedimos que:

- Respetar las reglas, incluido el cumplimiento de esta política y cualquier otro acuerdo relevante. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política ;

- Informar de inmediato cualquier vulnerabilidad que haya descubierto ;

- Evitar violar la privacidad de otros, alterar nuestros sistemas, destruir datos y/o dañar la experiencia del usuario;

- Utilice únicamente los canales oficiales para discutir información sobre vulnerabilidades con nosotros;

- Brindarnos una cantidad de tiempo razonable (al menos 90 días desde el informe inicial) para resolver el problema antes de revelarlo públicamente;

- Realizar pruebas únicamente en sistemas dentro del alcance y respetar los sistemas y actividades que están fuera del alcance;

- Si una vulnerabilidad proporciona acceso no intencionado a datos: limite la cantidad de datos a los que accede al mínimo requerido para demostrar eficazmente una prueba de concepto; y dejar de realizar pruebas y enviar un informe inmediatamente si encuentra algún dato de usuario durante la prueba, como información de identificación personal (PII), información personal de atención médica (PHI), datos de tarjetas de crédito o información de propiedad exclusiva;

- Sólo debes interactuar con cuentas de prueba de tu propiedad o con permiso explícito del titular de la cuenta; y

- No realizar extorsiones.

## Canales oficiales

Informe problemas de seguridad a través de <[email protected]>, proporcionando toda la información relevante. Cuantos más detalles proporcione, más fácil nos resultará clasificar y solucionar el problema.

## Puerto seguro

Al realizar una investigación de vulnerabilidad, de acuerdo con esta política, consideramos que la investigación realizada bajo esta política es:

- Autorizado con respecto a cualquier ley anti-piratería aplicable, y no iniciaremos ni apoyaremos acciones legales en su contra por violaciones accidentales y de buena fe de esta política;

- Autorizado en relación con cualquier ley antielusión relevante, y no presentaremos un reclamo contra usted por elusión de controles tecnológicos;

- Exentos de restricciones en nuestros Términos de servicio (TOS) y/o Política de uso aceptable (AUP) que podrían interferir con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada; y

- Legal, útil para la seguridad general de Internet y realizado de buena fe.

Como siempre, se espera que usted cumpla con todas las leyes aplicables. Si un tercero inicia una acción legal contra usted y usted ha cumplido con esta política, tomaremos medidas para hacerle saber que sus acciones se llevaron a cabo de conformidad con esta política.

Si en algún momento tiene inquietudes o no está seguro de si su investigación de seguridad es consistente con esta política, envíe un informe a través de uno de nuestros canales oficiales antes de continuar.

> Tenga en cuenta que Safe Harbor se aplica únicamente a reclamos legales bajo el control de la organización que participa en esta política, y que la política no vincula a terceros independientes.