La seguridad en línea es importante para Marketplacer y valoramos el trabajo realizado por los investigadores de seguridad. Esta política describe cómo revelar de forma responsable los defectos de seguridad o vulnerabilidades que afectan a los productos y servicios de Marketplacer.
Directriz
La identificación y divulgación de vulnerabilidades de seguridad ayuda a Marketplacer a proteger la seguridad y privacidad de todos los que utilizan los servicios de Marketplacer.
Requerimos que todos los investigadores:
- Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción de datos pertenecientes a Marketplacer y a nuestros clientes durante las pruebas;
- Realizar la investigación únicamente dentro de los límites de alcance establecidos a continuación y de conformidad con la legislación aplicable (que incluye la legislación del lugar donde se encuentre el investigador, Australia y, en algunos casos, Estados Unidos);
- Utilizar los canales de comunicación identificados para comunicarnos información sobre vulnerabilidades.
- Mantenga la confidencialidad de la información sobre el descubrimiento de cualquier defecto o vulnerabilidad entre usted y Marketplacer hasta que haya transcurrido el tiempo suficiente para resolver el asunto, pero no menos de 90 días desde la fecha de notificación de la vulnerabilidad a Marketplacer.
Siempre que siga estas directrices cuando nos comunique un problema, nos comprometemos a:
- No emprender acciones legales relacionadas con su descubrimiento y notificación de la vulnerabilidad (en relación con cualquier incumplimiento de estas directrices, nos reservamos todos nuestros derechos legales);
- Trabajar con usted para entender y resolver el problema rápidamente (incluida una confirmación inicial de su informe en un plazo de 5 días laborables tras la recepción del envío).
- Reconozca su contribución en nuestro Salón de la Fama de los Investigadores de Seguridad, si es el primero en informar de un problema que aún no hayamos descubierto y realizamos un cambio de código o configuración basado en su informe.
Alcance
Esta política de divulgación se aplica únicamente a las vulnerabilidades de los productos y servicios de Marketplacer:
- Que sean originales, no se hayan notificado previamente y no se hayan descubierto ya mediante procedimientos internos; y
- Para los dominios/subdominios de Marketplacer que tienen un archivo security.txt (es decir , https:///.well-known/security.txt).
Fuera del ámbito de aplicación
Quedan excluidos del ámbito de aplicación los proveedores y servicios de terceros.
En interés de la seguridad de nuestros usuarios, del personal, de Internet en general y de usted como investigador de seguridad, los siguientes tipos de pruebas quedan excluidos del ámbito de aplicación:
- Resultados de pruebas físicas como el acceso a la oficina (por ejemplo, puertas abiertas, colas);
- Hallazgos derivados principalmente como resultado de la ingeniería social (por ejemplo, phishing, vishing);
- Resultados de una cuenta que no le pertenece;
- Resultados de aplicaciones o sistemas no incluidos en la sección "Ámbito de aplicación";
- Errores en la interfaz de usuario y en la interfaz de usuario, incluidas las faltas de ortografía.
- Vulnerabilidades de denegación de servicio (DoS/DDoS) a nivel de red.
Cosas que no queremos recibir:
- Información personal identificable (IPI);
- Datos del titular de la tarjeta de crédito;
- Cualquier otro dato sensible según la definición de la Ley australiana de Protección de la Intimidad.
- Informes que indican que nuestros servicios no se ajustan plenamente a las "mejores prácticas", por ejemplo, falta de cabeceras de seguridad (CSP, x-frame-options, x-prevent-xss, etc.) o configuración no óptima relacionada con el correo electrónico (SPF, DMARC, etc.).
Esta política pretende alinearse con todos los requisitos legislativos pertinentes y no le da permiso para infringir ninguna ley ni hace que Marketplacer infrinja ninguna ley.
Cómo informar de una vulnerabilidad de seguridad
Si cree que ha detectado un defecto de seguridad o una vulnerabilidad en uno de nuestros productos o plataformas, envíenoslo por correo electrónico a security-vulnerability@marketplacer.com.
Su informe debe incluir los siguientes datos:
- Descripción de la ubicación y el impacto potencial de la vulnerabilidad;
- Una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (nos resultan útiles los scripts POC, las capturas de pantalla y las capturas de pantalla comprimidas); y,
- Su nombre/manija y un enlace para su reconocimiento en nuestro Salón de la Fama.
Al informarnos de una revelación de vulnerabilidad, usted da su consentimiento para que recopilemos y almacenemos su nombre y/o apodo de investigador con el fin de publicar sus datos en nuestro salón de la fama de revelaciones responsables y para nuestros registros internos.
(Si no desea que se publiquen sus datos, háganoslo saber en el momento de la divulgación).
Le pedimos que cifre su informe utilizando nuestra clave PGP y que elimine cualquier dato en cuanto deje de ser razonablemente necesario.
Si no está seguro de si sus acciones se ajustan a nuestra política, póngase en contacto con nuestro equipo de seguridad para obtener orientación en security-vulnerability@marketplacer.com.
Es posible que actualicemos y revisemos esta política de vez en cuando. Cualquier actualización se indicará a continuación.