Política de divulgación responsable

GENERAL
En Figures, la seguridad de los datos de nuestros clientes y empleados es nuestra prioridad.
El objetivo de esta página (la "Política de divulgación responsable") es proporcionarle toda la información que necesita si ha descubierto o cree haber descubierto una posible vulnerabilidad en cualquiera de nuestros productos o servicios.
Nos comprometemos a garantizar que nuestra seguridad sea de primer nivel y agradecemos mucho la ayuda de nuestra comunidad para conseguirlo. Para asegurarse de que cualquier divulgación se hace de forma responsable, asegúrese de seguir las condiciones que se indican a continuación:

Todas las propuestas deben enviarse por correo electrónico a   security@figures.hr e incluir la siguiente información:
- Una URL o una dirección IP, donde encontró el problema. ¿Cuándo lo encontró?
- Una descripción del problema, incluyendo lo que vio y lo que esperaba ver.
- Una lista de pasos para reproducir el problema, o un vídeo de demostración si se trata de un problema complicado.

Por favor, asegúrese de que las revelaciones se hagan lo antes posible. Esto ayudará a resolver los problemas de seguridad a tiempo.

La divulgación pública de cualquier vulnerabilidad (por ejemplo, a través de las redes sociales o la prensa) puede poner en peligro a nuestra comunidad, por lo que le rogamos que se asegure de mantener la confidencialidad. Todas las divulgaciones deben hacerse de acuerdo con esta Política de divulgación responsable para que podamos centrarnos en resolver cualquier problema lo antes posible. Nos reservamos el derecho a emprender acciones legales en caso de incumplimiento.

Si descubre una vulnerabilidad y entra en posesión de datos personales de clientes o empleados de Figures, debe asegurarse de que se eliminen tan pronto como haya hecho la revelación comunicada por correo electrónico. Los datos personales son cualquier información que pueda utilizarse para identificar a una persona.

Ninguna de las investigaciones que ha realizado al informar sobre una vulnerabilidad debe haber sido obtenida por medios ilícitos como:
- Acceder, o intentar acceder, a cuentas o datos que no le pertenecen; Intentar utilizar malware, virus o software dañino similar - Enviar mensajes de spam no solicitados.

Tenga en cuenta que no ofrecemos un programa de recompensas por errores. Esto significa que Figures no paga recompensas por las vulnerabilidades de seguridad reveladas.
Para proteger a nuestros clientes, investigamos todos los problemas notificados, pero no los confirmamos públicamente.
LO QUE LE PEDIMOS
- Usted hace un esfuerzo de buena fe para evitar cualquier violación legal y de privacidad, interrupciones a otros, incluyendo (pero no limitándose a) la destrucción de datos y la interrupción o degradación de nuestros servicios.
- No explote un problema de seguridad que descubra por cualquier motivo. (Esto incluye lademostración de riesgos adicionales, como el intento de comprometer datos sensibles de la empresa o el sondeo de problemas adicionales)
- No infrinja ninguna otra ley o reglamento aplicable.
SU PRIVACIDAD
Sus datos personales sólo se utilizarán para ponerse en contacto con usted en relación con su informe de vulnerabilidad. No distribuiremos su información personal a terceros sin su permiso.
En caso de que la ley nos obligue a proporcionar sus datos personales a una autoridad, nos aseguraremos de que la autoridad correspondiente trate sus datos personales de forma confidencial. Seguiremos siendo responsables de su información personal.
PREGUNTAS FRECUENTES
¿De qué no debería informar?
- Sugerencias de configuración de Sender Policy Framework (SPF), DKIM y DMARC
- Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
- Divulgación de banners en servicios comunes/públicos sin configuraciones de cabeceraPoCSecurity o sin cabecera
- Falta de banderas Secure/HTTPOnly en cookies no sensibles
- Ataques de phishing o ingeniería social

¿Cuándo tendré noticias después de hacer una divulgación?
Figures le enviará una respuesta para informarle de que hemos recibido su informe y nos pondremos en contacto con usted si necesitamos más información.


¿Puedo publicar algo sobre la vulnerabilidad después de mi divulgación?
Pedimos que cualquier detalle sea confidencial para proteger mejor a nuestra comunidad. Si tiene más preguntas al respecto, póngase en contacto con security@figures.hr.