Notificación de una vulnerabilidad

Introducción

En Modica proporcionamos a nuestros clientes soluciones de mensajería empresarial seguras y de gran volumen. Valoramos la seguridad y reconocemos la importancia de garantizar la integridad y confidencialidad de las comunicaciones globales.

Modica agradece los comentarios de los investigadores de seguridad y del público en general para ayudar a mejorar la seguridad de nuestros activos digitales. Si cree que ha descubierto una vulnerabilidad de seguridad (véase la definición más abajo), un problema de privacidad o datos expuestos en cualquiera de nuestros activos, queremos conocer su opinión. Este documento resume las normas relativas al Programa de Divulgación de Vulnerabilidades de Modica, incluidos los pasos para informarnos de vulnerabilidades, lo que esperamos y lo que puede esperar de nosotros.

Definición de una vulnerabilidad

Modica considera que una vulnerabilidad de seguridad es una debilidad genuina en uno de nuestros productos o en nuestra infraestructura que podría permitir a un atacante afectar a la confidencialidad, integridad o disponibilidad de nuestros datos, producto o infraestructura.

Sistemas en el ámbito de aplicación

El Programa de Divulgación de Vulnerabilidades de Modica se aplica a cualquier activo digital propiedad de Modica, operado o mantenido por Modica.

Fuera del ámbito

• Servicios, activos u otros equipos que no son propiedad de Modica.

Las vulnerabilidades descubiertas o sospechadas en sistemas fuera del alcance deben ser reportadas a la tercera parte apropiada, proveedor o autoridad aplicable.

Nuestros compromisos

Cuando trabaje con nosotros de acuerdo con las normas de nuestro Programa de Divulgación de Vulnerabilidades, puede esperar que:

• Respondamos a su informe en un plazo razonable teniendo en cuenta la gravedad potencial de la vulnerabilidad, y trabajemos con usted para comprender y validar su informe;

• Nos esforcemos por mantenerle informado sobre el progreso de la evaluación de una vulnerabilidad a medida que se procesa;

• Trabajar para remediar las vulnerabilidades confirmadas de manera oportuna, dentro de nuestras limitaciones operativas; y
• Extender Safe Harbour para su investigación de vulnerabilidades que esté relacionada con el Programa de Divulgación de Vulnerabilidades de Modica.
  

Nuestras expectativas

Al participar en nuestro programa de divulgación de vulnerabilidades, esperamos que actúe de buena fe en todo momento y le pedimos que

• Cumpla las normas establecidas en este documento y en cualquier otro acuerdo pertinente. Si existe alguna incoherencia entre este documento y cualquier otro acuerdo aplicable relacionado con la divulgación de vulnerabilidades, prevalecerán las normas de este documento.

• Informa rápidamente de cualquier vulnerabilidad potencial que hayas descubierto;

• No viole la privacidad de los demás, interrumpa nuestros sistemas, destruya datos y/o perjudique la experiencia del usuario.

• Utilice únicamente los canales oficiales que se indican a continuación para notificar y comentar con nosotros la información sobre vulnerabilidades.

• No divulgue públicamente ninguna vulnerabilidad identificada.

• Realice pruebas únicamente en los sistemas incluidos en el ámbito de aplicación, y respete los sistemas y actividades que estén fuera de dicho ámbito.

• Si una vulnerabilidad proporciona acceso involuntario a los datos:
  • limite la cantidad de datos a los que accede al mínimo necesario para demostrar eficazmente una Prueba de Concepto (PdC); y cese las pruebas y envíe un informe inmediatamente si encuentra cualquier información personal de usuario o información propiedad de Modica que esté en riesgo;

• No participe en extorsiones. Si intenta extorsionarnos, podremos notificárselo a los organismos reguladores pertinentes o a las fuerzas de seguridad.

Canales oficiales

Notifique los problemas de seguridad a través de support@modicagroup.com, facilitando toda la información pertinente. Cuantos más detalles nos proporcione, más fácil nos resultará clasificar y solucionar el problema. Es importante utilizar este canal oficial, ya que está protegido mediante el uso de un cifrado adecuado.

Como mínimo, incluya la siguiente información en su informe:

• Tipo de problema (cross-site scripting, inyección SQL, ejecución remota de código, etc.).

• Producto y versión con el fallo o una URL si se trata de un servicio en la nube.

• Impacto potencial de la vulnerabilidad (es decir, a qué datos se puede acceder o modificar).

• Instrucciones paso a paso o PoC para replicar el problema.

Puerto seguro

Si actúas de buena fe y sigues las normas del Programa de divulgación de vulnerabilidades de Modica cuando realices una investigación de vulnerabilidades, lo haremos:

• Mantendremos la confidencialidad de toda la información que comparta con nosotros dentro de Modica y nuestros proveedores y socios contratados directamente, a menos que estemos obligados a revelar la información en virtud de la legislación aplicable.

• No emprenderemos acciones legales contra usted.

Se espera de usted, como siempre, que cumpla todas las leyes aplicables. Si en algún momento le preocupa o no está seguro de si su investigación de seguridad se ajusta a nuestro programa de vulnerabilidades de seguridad, póngase en contacto con nosotros a través de nuestro canal oficial antes de seguir adelante.

Tenga en cuenta que el Puerto Seguro sólo se aplica a las reclamaciones legales bajo el control de Modica, y no vincula a terceros.

¿Necesita más información?

Póngase en contacto con nosotros a través de nuestro canal oficial(support@modicagroup.com) si necesita más información o tiene alguna pregunta. Si le preocupa la seguridad del correo electrónico, puede enviar un mensaje cifrado con PGP a nuestro equipo.

Agradecimientos

Modica agradece la profesionalidad y el apoyo de todos los investigadores de seguridad que nos han ayudado.

A continuación figuran los investigadores que han accedido a que se reconozca públicamente su esfuerzo.

Nombre y perfil