Política de divulgación de vulnerabilidades
# Traiga su política de divulgación de vulnerabilidades de LLC
## Introducción
Bring Your, LLC agradece los comentarios de los investigadores de seguridad y del público en general para ayudar a mejorar nuestra seguridad. Si cree que ha descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos saber de usted. Esta política describe los pasos para informarnos sobre vulnerabilidades, lo que esperamos y lo que usted puede esperar de nosotros.
## Sistemas en alcance
Esta política se aplica a cualquier activo digital que Bring Your, LLC posea, opere o mantenga.
## Fuera de alcance
- Activos u otros equipos que no sean propiedad de las partes participantes en esta póliza.
Las vulnerabilidades descubiertas o sospechadas en sistemas fuera de alcance deben informarse al proveedor correspondiente o a la autoridad aplicable.
## Nuestros Compromisos
Al trabajar con nosotros, de acuerdo con esta política, puede esperar que:
- Responder a su informe con prontitud y trabajar con usted para comprender y validar su informe;
- Esforzarse por mantenerlo informado sobre el progreso de una vulnerabilidad a medida que se procesa;
- Trabajar para remediar las vulnerabilidades descubiertas de manera oportuna, dentro de nuestras limitaciones operativas; y
- Ampliar Safe Harbor para su investigación de vulnerabilidades relacionadas con esta política.
## Nuestras expectativas
Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, le pedimos que:
- Respetar las reglas, incluido el cumplimiento de esta política y cualquier otro acuerdo relevante. Si hay alguna inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política ;
- Informar de inmediato cualquier vulnerabilidad que haya descubierto ;
- Evitar violar la privacidad de otros, alterar nuestros sistemas, destruir datos y/o dañar la experiencia del usuario;
- Utilice únicamente los canales oficiales para discutir información sobre vulnerabilidades con nosotros;
- Brindarnos una cantidad de tiempo razonable (al menos 90 días desde el informe inicial) para resolver el problema antes de revelarlo públicamente;
- Realizar pruebas únicamente en sistemas dentro del alcance y respetar los sistemas y actividades que están fuera del alcance;
- Si una vulnerabilidad proporciona acceso no intencionado a datos: limite la cantidad de datos a los que accede al mínimo requerido para demostrar eficazmente una prueba de concepto; y dejar de realizar pruebas y enviar un informe inmediatamente si encuentra algún dato de usuario durante la prueba, como información de identificación personal (PII), información personal de atención médica (PHI), datos de tarjetas de crédito o información de propiedad exclusiva;
- Sólo debes interactuar con cuentas de prueba de tu propiedad o con permiso explícito del titular de la cuenta; y
- No realizar extorsiones.
## Canales oficiales
Informe problemas de seguridad a través de <[email protected]>, proporcionando toda la información relevante. Cuantos más detalles proporcione, más fácil nos resultará clasificar y solucionar el problema.
## Puerto seguro
Al realizar una investigación de vulnerabilidad, de acuerdo con esta política, consideramos que la investigación realizada bajo esta política es:
- Autorizado con respecto a cualquier ley anti-piratería aplicable, y no iniciaremos ni apoyaremos acciones legales en su contra por violaciones accidentales y de buena fe de esta política;
- Autorizado en relación con cualquier ley antielusión relevante, y no presentaremos un reclamo contra usted por elusión de controles tecnológicos;
- Exentos de restricciones en nuestros Términos de servicio (TOS) y/o Política de uso aceptable (AUP) que podrían interferir con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada; y
- Legal, útil para la seguridad general de Internet y realizado de buena fe.
Como siempre, se espera que usted cumpla con todas las leyes aplicables. Si un tercero inicia una acción legal contra usted y usted ha cumplido con esta política, tomaremos medidas para hacerle saber que sus acciones se llevaron a cabo de conformidad con esta política.
Si en algún momento tiene inquietudes o no está seguro de si su investigación de seguridad es consistente con esta política, envíe un informe a través de uno de nuestros canales oficiales antes de continuar.
> Tenga en cuenta que Safe Harbor se aplica únicamente a reclamos legales bajo el control de la organización que participa en esta política, y que la política no vincula a terceros independientes.