Política de divulgación de vulnerabilidades de Master Lock

Master Lock se compromete a proteger la seguridad de nuestros clientes y nos esforzamos por ofrecer a nuestros usuarios productos y servicios seguros y estables, así como por proteger la privacidad y la seguridad de los datos de los clientes.

Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad que esté considerando informarnos (la "Organización").

Le recomendamos que lea detenidamente esta política de divulgación de vulnerabilidades antes de informar de una vulnerabilidad y que actúe siempre de conformidad con ella.

Valoramos a aquellos que se toman el tiempo y el esfuerzo para informar sobre vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas monetarias por la divulgación de vulnerabilidades.

 

Informes 

Si cree que ha encontrado una vulnerabilidad de seguridad, envíenos enviar su informe a través de los siguientes e-mail productsecurity@mlock.com.

En su informe, incluya detalles de lo siguiente siempre que sea posible:

  • La aplicación, el sitio web, la IP o el dispositivo donde se puede observar la vulnerabilidad, si corresponde.
  • Una breve descripción de la vulnerabilidad, por ejemplo, "vulnerabilidad XSS".
  • Posible causa raíz.
  • Pasos para reproducirse. Estos deben ser benignos, no destructivos, prueba de concepto. Esto ayuda a garantizar que el informe se pueda clasificar de forma rápida y precisa.

 

Qué esperar 

Una vez que haya enviado su informe, acusaremos recibo de su informe en un plazo de 5 días hábiles y trataremos de clasificar su informe en un plazo de 10 días hábiles.

También intentaremos mantenerlo informado de nuestro progreso o solicitar información adicional cuando corresponda.

Las prioridades para la corrección se evalúan observando el impacto, la gravedad y la complejidad de la explotación. Los informes de vulnerabilidad pueden tardar algún tiempo en clasificarse o solucionarse. Le invitamos a preguntar sobre el estado, pero debe evitar hacerlo más de una vez cada 14 días.

Le notificaremos una vez que se corrija la vulnerabilidad y es posible que se le invite a confirmar que la solución cubre la vulnerabilidad adecuadamente.

Una vez que se haya resuelto la vulnerabilidad, proporcionaremos al informante de la vulnerabilidad una actualización de estado para cerrar el asunto.

 

Orientación 

Usted NO debe:

  • Violar cualquier ley o reglamento aplicable.
  • Acceder a cantidades innecesarias, excesivas o significativas de datos.
  • Modificar los datos de los sistemas o servicios de la Organización.
  • Utilice herramientas de análisis invasivas o destructivas de alta intensidad para encontrar vulnerabilidades.
  • Intentar informar cualquier forma de denegación de servicio, por ejemplo, saturar un servicio con un gran volumen de solicitudes.
  • Perturbar los servicios o sistemas de la Organización.
  • Envíe informes que detallen las vulnerabilidades no explotables o informes que indiquen que los servicios no se alinean completamente con las "mejores prácticas", por ejemplo, faltan encabezados de seguridad.
  • Envíe informes que detallen los puntos débiles de la configuración de TLS, por ejemplo, la asistencia "débil" del conjunto de cifrado o la presencia de la asistencia de TLS1.0.
  • Ingeniero social, "phishing" o ataque físico al personal o a la infraestructura de la Organización.
  • Exija una compensación financiera para revelar cualquier vulnerabilidad. 
  • Discutir o revelar vulnerabilidades a terceros sin el permiso expreso de la Organización.

 

Debes

  • Cumplir siempre con las normas de protección de datos y no debe violar la privacidad de los usuarios, el personal, los contratistas, los servicios o los sistemas de la Organización. No debe, por ejemplo, compartir, redistribuir o dejar de proteger adecuadamente los datos recuperados de los sistemas o servicios.
  • Borre de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o dentro de los 1 meses posteriores a la resolución de la vulnerabilidad, lo que ocurra primero (o según lo exija la ley de protección de datos).

 

Legalidades 

Esta política está diseñada para ser compatible con las buenas prácticas comunes de divulgación de vulnerabilidades. No le da permiso para actuar de ninguna manera que sea incompatible con la ley, o que pueda hacer que la Organización o las organizaciones asociadas incumplan cualquier obligación legal.