Política de Divulgación
Esta Política de Divulgación es parte integral de los Términos y Condiciones Generales y se entenderá para todos los efectos como un anexo. Se aplica a todos los usuarios de CyScope a través del sitio web www.cyscope.io y sus servicios.
Al registrarse en el sitio web www.cyscope.io, el Usuario acepta cumplir con todas las leyes, estatutos, ordenanzas y regulaciones nacionales e internacionales aplicables con respecto al uso de la plataforma y autoriza a CyScope a investigar denuncias o violaciones, tomar las medidas necesarias indicadas en los Términos y Condiciones Generales y en el Anexo de clasificación y sanciones, e informar a las entidades legales en caso de detectar cualquier actividad ilegal.
1. Protección de la propiedad intelectual e industrial
Tanto los contenidos como los elementos que componen el Sitio Web (incluidos, sin limitación, marcas comerciales, logotipos, nombres comerciales, textos, imágenes, gráficos, diseños, bases de datos, software, diagramas de flujo, presentaciones, “look and feel”, audio y video), están protegidos por derechos de propiedad intelectual e industrial propiedad de CyScope.
El Usuario tiene totalmente prohibido cualquier tipo de explotación, uso comercial, alteración, reproducción, redistribución, cesión a terceros, comunicación pública total o parcial, del Sitio Web y/o sus Contenidos, sin la autorización previa y expresa por escrito de CyScope o los respectivos titulares de los derechos. El estatus de usuario del sitio web no otorga derechos de propiedad de ningún tipo sobre el sitio web.
2. Independencia de cada parte
Las cláusulas de los Términos y Condiciones Generales, así como sus respectivos anexos, no generan ni pueden interpretarse como una relación exclusiva entre CyScope y el Usuario de la plataforma.
Las partes declaran que no existe una agencia ni una sociedad entre ellas en virtud de este Contrato.
3. Provisionamiento del servicio
La aceptación de los Términos y Condiciones Generales, así como sus respectivos anexos, no genera ninguna relación laboral, ni un vínculo de subordinación o dependencia, por lo que CyScope no puede ser considerada como empleador y los hackers no son trabajadores dependientes.
CyScope no asume ninguna obligación en cuanto al pago de remuneraciones, salarios, sueldos, asignaciones, bonificaciones, contribuciones a la seguridad social y/o salud, compensaciones u otras obligaciones laborales, asistenciales, de seguridad social y de prevención de riesgos, más allá de la contraprestación por la gestión encomendada. El pago de la recompensa es la única responsabilidad asumida por CyScope, además de proporcionar el espacio digital para detectar vulnerabilidades en los sistemas. Como consecuencia de lo anterior, CyScope no asume ninguna responsabilidad por accidente, enfermedad o impedimento que el Usuario pueda sufrir en el cumplimiento de la detección de vulnerabilidades encargada.
Si el Hacker realiza actividades remuneradas de forma dual, es responsable de gestionar el cumplimiento laboral con su empleador y sus obligaciones a través de CyScope.
4. Informe de vulnerabilidad
Para reportar una vulnerabilidad, el Hacker, debidamente registrado, debe completar el informe de vulnerabilidad disponible en la plataforma de CyScope, asociado al programa de seguridad en el que está participando. Las vulnerabilidades que no hayan sido reportadas en la plataforma de CyScope no serán aceptadas ni recompensadas.
Para ser válido, el informe debe cumplir con los siguientes requisitos:
- Estar alineado con las reglas del programa especificadas por la empresa.
- Estar dentro del alcance de trabajo definido por la empresa.
- Incluir una descripción clara, detallada, concisa e ilustrada de la vulnerabilidad, el sistema afectado, su impacto, nivel de riesgo, parámetros y una prueba de concepto relevante. Las pruebas de concepto pueden ser a través de capturas de pantalla o videos. En el caso de un video, su tamaño no debe exceder los 50 MB.
- Incluir información clara y detallada, como los diferentes pasos a seguir para reproducir la explotación de la vulnerabilidad.
Si el equipo administrador del programa requiere información adicional sobre un informe, se pondrá en contacto con el hacker a través de los canales de comunicación oficiales de CyScope, es decir, por correo electrónico o a través del chat del programa. El hacker podrá comentar sobre su informe utilizando los mismos canales oficiales.
Si la información adicional requerida por el equipo de gestión del programa no se proporciona dentro de un plazo máximo de 10 días, el informe se cerrará y se considerará inválido.
Los informes incompletos no cumplen con la política de divulgación de CyScope y no serán aceptados por el equipo administrador del programa. No obstante lo anterior, no están exentos del cumplimiento de las obligaciones de confidencialidad y otras establecidas en los Términos y Condiciones Generales y otros Anexos.
Las vulnerabilidades reportadas que estén fuera del alcance del programa no serán analizadas ni recompensadas.
5. Acciones prohibidas
El hacker declara haber leído, entendido y acepta que realizar cualquiera de las siguientes acciones NO está permitido:
- Realizar pruebas en el sistema de la empresa de manera no controlada, afectando la disponibilidad, confidencialidad e integridad de los datos de la empresa.
- Proporcionar información relacionada con el programa y los resultados obtenidos a terceros que no estén directamente involucrados en el programa o su gestión (empresa del programa o equipo administrador de CyScope).
- Divulgar una vulnerabilidad sin la autorización por escrito de la empresa y de CyScope.
- Divulgar una vulnerabilidad a terceros, por cualquier medio, incluso cuando haya sido validada y mitigada por la empresa.
- Realizar cambios en el sistema evaluado y compartir el acceso al sistema con terceros.
- Realizar ataques de fuerza bruta, ingeniería social, intrusión física y spam.
- Integrar el uso de malware en las pruebas.
- Subir vulnerabilidades o contenido relacionado con la empresa a cualquier servicio de terceros (por ejemplo, Github, YouTube, etc.).
- Perjudicar a la empresa mediante actividades no programadas o acordadas.
- Explotar el acceso a sistemas, cuentas, usuarios o datos de usuario obtenidos por el hacker. En este caso, el hacker deberá detener sus pruebas y preparar un informe para notificar a la empresa. El hacker no podrá investigar más a fondo utilizando esta vulnerabilidad.
- Utilizar un lenguaje informal e inapropiado al redactar el informe de vulnerabilidad.
- Violar las reglas de confidencialidad.
- Realizar ataques DoS o DDoS sin haber recibido autorización previa por escrito de CyScope y de la empresa. Si el hacker sospecha que un activo es vulnerable a un DoS en la capa de aplicación, debe ponerse en contacto con el equipo administrador de CyScope para solicitar permiso a la empresa antes de realizar la prueba.
6. Pruebas no elegibles
- Páginas de error 500, 404, etc.
- Clickjacking.
- Enumeración de UUID.
- Inyección de CSV.
- Cross Site Request Forgery (CSRF) con impacto limitado.
- Informes de escaneos SSL/TLS.
- Informes especulativos con impacto teórico sin prueba de concepto.
- Informes de escaneos automatizados sin validación manual.
- Extracción de la versión del sistema.
- Errores de depuración o divulgación de rutas del sistema (Path disclosure).
- Pruebas de ingeniería social.
- Ausencia de encabezados de seguridad.
- Pruebas DoS y de estrés en general que impacten el rendimiento de la aplicación/servidor.
7. Actualización de la Política de Divulgación.
CyScope se reserva el derecho de cambiar, agregar o eliminar partes de la Política de Divulgación, en cualquier momento, haciendo pública la fecha de actualización en el sitio web. Es responsabilidad del Usuario revisar periódicamente la Política de Divulgación al utilizar el sitio web www.cyscope.io y sus servicios. El Usuario reconoce y acepta que es su responsabilidad revisar esta política de privacidad periódicamente y estar al tanto de las modificaciones.
8. Aceptación de la Política de Divulgación
El Usuario declara haber leído, entendido y aceptar todas las condiciones establecidas en los Términos y Condiciones Generales y en la Política de Divulgación, antes de su registro como Usuario de CyScope.
El uso continuo del Sitio después de la publicación de cambios en esta política se considerará como su aceptación de esos cambios.
9. Contacto
Si tiene alguna pregunta sobre esta Política de Divulgación, las prácticas del sitio o su relación con este sitio, por favor contacte al equipo administrador de CyScope: [email protected].