DESCUBRIMIENTO Y DIVULGACIÓN DE VULNERABILIDADES

DESCUBRIMIENTO Y DIVULGACIÓN DE VULNERABILIDADES

Política de descubrimiento y divulgación de vulnerabilidades

Versión 1.4- Octubre 2023

 

Introducción

Sylvania considera que la seguridad, privacidad y protección de nuestros clientes es una de sus principales prioridades.
Diseñamos y fabricamos productos y servicios con la mejor calidad y fiabilidad posibles.
A pesar de nuestros esfuerzos por aplicar las mejores medidas de seguridad posibles, es posible que sigan existiendo vulnerabilidades en nuestros productos y servicios.

Este documento describe la política de Sylvania para la recepción de informes relacionados con posibles vulnerabilidades de seguridad en sus productos y servicios, los procedimientos de la empresa en el tratamiento de un informe y la práctica estándar de la empresa con respecto a informar a los clientes de las vulnerabilidades verificadas.

Se anima a todo el mundo a informar de las vulnerabilidades detectadas, independientemente del tipo de servicio o productos.
Investigadores, socios, clientes o cualquier otra fuente son bienvenidos a informar de cualquier vulnerabilidad encontrada.

Alcance

Esta política se aplica a los siguientes sistemas y servicios:

Nota para los investigadores: Cualquier servicio que no figure expresamente en la lista anterior queda excluido del ámbito de aplicación y no está autorizado para la realización de pruebas.

Directrices

Te pedimos que

  • Notifica a Feilo Sylvania primero y lo antes posible después de haber descubierto un problema de seguridad real o potencial
  • Haz todo lo posible para evitar la violación de la privacidad, la degradación del rendimiento del sistema, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos.
  • Utiliza los exploits sólo en la medida necesaria para confirmar la presencia de una vulnerabilidad.
  • No utilices un exploit para comprometer o extraer datos, establecer acceso a la línea de comandos y/o persistencia, o utilizar el exploit para “pivotar” a otros sistemas.
  • Una vez que hayas comprobado que existe una vulnerabilidad o encuentres algún dato sensible (incluida información personal identificable, información financiera o información de propiedad o secretos comerciales de alguna de las partes), debes detener tu prueba, notificárnoslo inmediatamente y no revelar estos datos a nadie.
  • Da a Feilo Sylvania un plazo razonable para resolver el problema
  • No utilices pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que dificulten el acceso o dañen un sistema o los datos

Si se siguen estas directrices, no se emprenderá ninguna acción legal contra las personas que descubran e informen de una vulnerabilidad.

Informar de una vulnerabilidad

El método preferido para ponerse en contacto con Feilo Sylvania en relación con una vulnerabilidad real o potencial de sus productos o servicios, es enviando un correo electrónico a:

[email protected].

Para procesar eficazmente tu informe sobre la vulnerabilidad, esperamos un informe bien redactado en inglés que contenga la siguiente información:

  • Hora y fecha del descubrimiento
  • Aplicación móvil utilizada
  • Sistema operativo móvil
  • Modelo de ordenador y detalles del sistema operativo
  • Número de modelo del dispositivo y direcciones MAC/UUID asociadas
  • Modelo y número del producto utilizando la nomenclatura del vendedor si es posible
  • URL, información del navegador, incluido el tipo y la versión, y la entrada necesaria para reproducir la vulnerabilidad;
  • Descripción técnica: indica qué acciones se realizaban y el resultado con el mayor detalle posible, incluyendo capturas de pantalla,
  • Código de ejemplo: si es posible, proporciona el código que se utilizó en las pruebas para crear la vulnerabilidad;
  • Información de contacto de la fiesta de presentación de informes – los mejores datos de contacto
  • Plan(es) de divulgación – plan actual de divulgación;
  • Evaluación de amenazas/riesgos y calificación de gravedad: contiene detalles de las amenazas y/o riesgos identificados, incluido un nivel de riesgo (menor, mayor, crítico).
  • Información relevante sobre los dispositivos conectados si surge una vulnerabilidad durante la interacción.

Por favor, no incluyas datos personales en tus informes, salvo los necesarios para ponernos en contacto contigo de acuerdo con el GDPR.

Participar en este mecanismo de información no te otorga ningún derecho sobre la propiedad intelectual propiedad de Feilo Sylvania o de terceros.

Procesamiento del informe – Próximos pasos

Una vez que Feilo Sylvania reciba tu informe, Feilo Sylvania se esforzará por acusar recibo a todos los informes enviados en un plazo de siete días.

Tu informe se procesará en nuestro sistema de seguimiento de incidencias.
Se tendrá en cuenta el grado de gravedad del informe y se le asignará un grado de gravedad a discreción exclusiva de Feilo Sylvania, y un miembro apropiado del equipo se pondrá en contacto contigo para hacer un seguimiento.

Para garantizar la confidencialidad, te animamos a que encriptes cualquier información sensible que nos envíes por correo electrónico.
Feilo Sylvania garantizará un diálogo abierto para discutir los problemas y te mantendrá informado en cada fase de la investigación.

Feilo Sylvania tiene plena discreción para determinar si acepta un informe en función del nivel de gravedad o del contenido del informe proporcionado.

Feilo Sylvania te da las gracias por tu ayuda en la identificación de una vulnerabilidad, por mejorar nuestros productos y servicios y por contribuir a una comunidad más segura.

Todos los aspectos de este proceso están sujetos a cambios sin previo aviso, así como a excepciones caso por caso.
No se garantiza ningún nivel concreto de respuesta para ningún asunto o grupo de asuntos específicos.

Ten en cuenta que no hay recompensa económica por ninguna vulnerabilidad notificada.