Política de Divulgación

Tanto los contenidos como los elementos que componen el Sitio Web (incluidos, sin limitación, marcas comerciales, logotipos, nombres comerciales, textos, imágenes, gráficos, diseños, bases de datos, software, diagramas de flujo, presentaciones, “look and feel”, audio y video), están protegidos por derechos de propiedad intelectual e industrial propiedad de CyScope.

El Usuario tiene totalmente prohibido cualquier tipo de explotación, uso comercial, alteración, reproducción, redistribución, cesión a terceros, comunicación pública total o parcial, del Sitio Web y/o sus Contenidos, sin la autorización previa y expresa por escrito de CyScope o los respectivos titulares de los derechos. El estatus de usuario del sitio web no otorga derechos de propiedad de ningún tipo sobre el sitio web.

Las cláusulas de los Términos y Condiciones Generales, así como sus respectivos anexos, no generan ni pueden interpretarse como una relación exclusiva entre CyScope y el Usuario de la plataforma.

Las partes declaran que no existe una agencia ni una sociedad entre ellas en virtud de este Contrato.

Para reportar una vulnerabilidad, el Hacker, debidamente registrado, debe completar el informe de vulnerabilidad disponible en la plataforma de CyScope, asociado al programa de seguridad en el que está participando. Las vulnerabilidades que no hayan sido reportadas en la plataforma de CyScope no serán aceptadas ni recompensadas.

Para ser válido, el informe debe cumplir con los siguientes requisitos:

• Estar alineado con las reglas del programa especificadas por la empresa.
• Estar dentro del alcance de trabajo definido por la empresa.
• Incluir una descripción clara, detallada, concisa e ilustrada de la vulnerabilidad, el sistema afectado, su impacto, nivel de riesgo, parámetros y una prueba de concepto relevante. Las pruebas de concepto pueden ser a través de capturas de pantalla o videos. En el caso de un video, su tamaño no debe exceder los 50 MB.
• Incluir información clara y detallada, como los diferentes pasos a seguir para reproducir la explotación de la vulnerabilidad.

Si el equipo administrador del programa requiere información adicional sobre un informe, se pondrá en contacto con el hacker a través de los canales de comunicación oficiales de CyScope, es decir, por correo electrónico o a través del chat del programa. El hacker podrá comentar sobre su informe utilizando los mismos canales oficiales.

Si la información adicional requerida por el equipo de gestión del programa no se proporciona dentro de un plazo máximo de 10 días, el informe se cerrará y se considerará inválido.

Los informes incompletos no cumplen con la política de divulgación de CyScope y no serán aceptados por el equipo administrador del programa. No obstante lo anterior, no están exentos del cumplimiento de las obligaciones de confidencialidad y otras establecidas en los Términos y Condiciones Generales y otros Anexos.

Las vulnerabilidades reportadas que estén fuera del alcance del programa no serán analizadas ni recompensadas.

El hacker declara haber leído, entendido y acepta que realizar cualquiera de las siguientes acciones NO está permitido:

• Realizar pruebas en el sistema de la empresa de manera no controlada, afectando la disponibilidad, confidencialidad e integridad de los datos de la empresa.
• Proporcionar información relacionada con el programa y los resultados obtenidos a terceros que no estén directamente involucrados en el programa o su gestión (empresa del programa o equipo administrador de CyScope).
• Divulgar una vulnerabilidad sin la autorización por escrito de la empresa y de CyScope.
• Divulgar una vulnerabilidad a terceros, por cualquier medio, incluso cuando haya sido validada y mitigada por la empresa.
• Realizar cambios en el sistema evaluado y compartir el acceso al sistema con terceros.
• Realizar ataques de fuerza bruta, ingeniería social, intrusión física y spam.
• Integrar el uso de malware en las pruebas.
• Subir vulnerabilidades o contenido relacionado con la empresa a cualquier servicio de terceros (por ejemplo, Github, YouTube, etc.).
• Perjudicar a la empresa mediante actividades no programadas o acordadas.
• Explotar el acceso a sistemas, cuentas, usuarios o datos de usuario obtenidos por el hacker. En este caso, el hacker deberá detener sus pruebas y preparar un informe para notificar a la empresa. El hacker no podrá investigar más a fondo utilizando esta vulnerabilidad.
• Utilizar un lenguaje informal e inapropiado al redactar el informe de vulnerabilidad.
• Violar las reglas de confidencialidad.
• Realizar ataques DoS o DDoS sin haber recibido autorización previa por escrito de CyScope y de la empresa. Si el hacker sospecha que un activo es vulnerable a un DoS en la capa de aplicación, debe ponerse en contacto con el equipo administrador de CyScope para solicitar permiso a la empresa antes de realizar la prueba.

• Páginas de error 500, 404, etc.
• Clickjacking.
• Enumeración de UUID.
• Inyección de CSV.
• Cross Site Request Forgery (CSRF) con impacto limitado.
• Informes de escaneos SSL/TLS.
• Informes especulativos con impacto teórico sin prueba de concepto.
• Informes de escaneos automatizados sin validación manual.
• Extracción de la versión del sistema.
• Errores de depuración o divulgación de rutas del sistema (Path disclosure).
• Pruebas de ingeniería social.
• Ausencia de encabezados de seguridad.
• Pruebas DoS y de estrés en general que impacten el rendimiento de la aplicación/servidor.

CyScope se reserva el derecho de cambiar, agregar o eliminar partes de la Política de Divulgación, en cualquier momento, haciendo pública la fecha de actualización en el sitio web. Es responsabilidad del Usuario revisar periódicamente la Política de Divulgación al utilizar el sitio web www.cyscope.io y sus servicios. El Usuario reconoce y acepta que es su responsabilidad revisar esta política de privacidad periódicamente y estar al tanto de las modificaciones.

Si tiene alguna pregunta sobre esta Política de Divulgación, las prácticas del sitio o su relación con este sitio, por favor contacte al equipo administrador de CyScope: [email protected].