Política para la divulgación de vulnerabilidades

Scitum
SCILabs

English Version

Introducción

Scitum tiene como misión “Crear entornos digitales seguros que contribuyan a la evolución de la sociedad”, por lo tanto, nuestra filosofía es fomentar, apoyar y compartir tanto experiencias como conocimientos, una forma de hacerlo es a través de esta política para la divulgación de vulnerabilidades.

Intención

Queremos trabajar en conjunto con los investigadores (“researchers”) cuyo interés se centre en hacer del ciberespacio un lugar más seguro, por lo que si has identificado alguna vulnerabilidad y/o brecha de seguridad en nuestra infraestructura, servicios, portales y/o aplicaciones desplegadas en Internet; y tu interés es ayudar; te invitamos a que nos compartas lo que has identificado.

Alcances

A través de esta política se atenderán los siguientes tipos de vulnerabilidades:

  • Ejecución remota de código
  • Buffer Overflow
  • Inyecciones SQL
  • Malas configuraciones que derive en exposición de posible información sensible
  • Crossite scripting
  • Insecure deserialization
  • XML External Entity
  • Sesiones Indexadas
  • Fallas de lógica en aplicaciones
  • Vulnerabilidades técnicas no conocidas (0 days)
  • CSRF, temas de autenticación, credenciales "hard coded"
  • Quedan fuera del alcance vulnerabilidades de:

  • Factor humano
  • Problemas de certificados digitales
  • Ataques de Ingeniería Social
  • Ataques de denegación de servicio
  • Los activos contemplados para esta política son:

  • Portal Scitum https://www.scitum.com.mx/
  • Portal Magazcitum https://www.magazcitum.com.mx/
  • Portal de Resources https://resources.scitum.com.mx/
  • Blog SCILabs https://blog.scilabs.mx/
  • Infraestructura de Scitum expuesta a internet
  • Consideraciones Legales

    Al apegarte a esta política, Scitum no tomará acción legal por el descubrimiento de vulnerabilidades y/o brechas de seguridad sí, y solo sí, cumples con todos los puntos siguientes:

  • Conoces y estás apegado a la regulación y legislación de México
  • Realizas pruebas sin dañar al activo tecnológico
  • Presentas la información y evidencias mínimas necesarias para corroborar la vulnerabilidad
  • Ayudas a no revelar/publicar la vulnerabilidad/brecha de seguridad durante un tiempo razonable para permitir se Scitum trabaje en mitigarla
  • Mecanismos de comunicación

    Puedes enviarnos tu investigación por correo de forma cifrada (ver llave pública) a vulnerability_disclousure@scitum.com.mx, deberás incluir:

  • Tu nombre
  • Tu nick/handler
  • Correo
  • Tipo de vulnerabilidad detectado
  • Título
  • Descipción ¿Cómo encontraste la vulnerabilidad?
  • ¿Qué pasos seguiste para identificarla?
  • Si utilizaste alguna herramienta, por favor menciónala
  • Datos Adjuntos

  • Si has descubierto varias vulnerabilidades, reporta cada una por separado

    Admitiremos reportes tanto en español como en inglés

    Tratamiento y atención a los reportes recibidos

    Scitum utilizará los siguientes criterios para priorizar y clasificar los reportes:

  • Calidad y cantidad de información que nos envíes la cual nos ayude a entender mejor, por ejemplo: puedes incluir el código de prueba que utilizaste al momento de identificar la vulnerabilidad, se tomará en cuenta la redacción y presentación del reporte.
  • Riesgo percibido de los hallazgos documentados
  • Antigüedad de los hallazgos

  • Nos comprometemos a:

  • Investigar todos los reportes que se reciban, Scitum responderá en un periodo máximo de 72 horas e indicará el tiempo que tardará en analizar y verificar la vulnerabilidad
  • Contactar al investigador(researcher) para comentar sobre los hallazgos
  • Notificar cuando hayamos concluido el análisis de la vulnerabilidad
  • Dar crédito a tu trabajo

  • Al final, buscaremos publicar las investigaciones en conjunto (con tu previo consentimiento) teniendo el cuidado de que la vulnerabilidad ha sido mitigada y así no poner en riesgo ningún activo. Si es tu decisión hacer la publicación de forma directa, requeriremos tu compromiso para evitar publicar dicha vulnerabilidad durante el periodo de investigación de esta.


    Versión

    Este documento fue creado en enero de 2020, y será actualizando al menos cada 90 días.