Divulgación coordinada de vulnerabilidades (CVD)

En Coosto, la seguridad de nuestros sistemas, red y productos es muy importante para nosotros. A pesar de que cuidamos mucho la seguridad, puede ocurrir que se descubra una vulnerabilidad. Si este es el caso, nos gustaría saberlo cuanto antes, para poder tomar medidas rápidamente.

¿Ha encontrado una vulnerabilidad en uno de nuestros sistemas? Nos gustaría trabajar con usted para proteger mejor a nuestros clientes y nuestros sistemas.

Te lo pedimos:

    Envíe sus conclusiones por correo electrónico a [email protected]. Cifre sus hallazgos con nuestra clave PGP para evitar que la información caiga en manos equivocadas.
    No abusar de la debilidad, por ejemplo, descargando, cambiando o borrando datos. Siempre nos tomamos en serio su informe e investigaremos cualquier sospecha de vulnerabilidad, incluso sin "pruebas" concretas.
    Si se investiga una vulnerabilidad en uno de nuestros sistemas, se tiene en cuenta la proporcionalidad del ataque. Esa proporcionalidad también desempeña un papel a la hora de probar la vulnerabilidad en sí misma. No ve ni modifica más datos que los estrictamente necesarios para probar la vulnerabilidad.
    No comparte el conocimiento de la vulnerabilidad con otros hasta que se resuelva y todos los datos confidenciales obtenidos a través de la filtración se eliminan inmediatamente
    No utilizar ataques de seguridad física, ingeniería social, denegación de servicio distribuida, spam o aplicaciones de terceros como escáneres de vulnerabilidad.
    Proporcione toda la información necesaria para reproducir el problema, de modo que podamos solucionarlo lo antes posible. Normalmente, basta con la dirección IP o la URL del sistema afectado, una descripción de la vulnerabilidad y una lista de acciones.

Lo que prometemos

    Responderemos a su informe en un plazo de 3 días laborables con nuestra evaluación del mismo y una fecha prevista de resolución.
    Resolvemos la vulnerabilidad lo antes posible. La proporcionalidad desempeña un papel importante en este sentido: el plazo para resolver una vulnerabilidad depende de varios factores, entre ellos la gravedad y la complejidad de la misma.
    Trataremos su informe de forma confidencial y no compartiremos sus datos personales con terceros sin su permiso, a menos que sea necesario para cumplir una obligación legal. Es posible informar bajo un seudónimo.
    Le mantendremos informado de los avances en la resolución del problema.
    En las notificaciones sobre el problema notificado, si lo desea, mencionaremos su nombre como descubridor.
    Lamentablemente, no es posible excluir de antemano las acciones legales contra usted. Queremos ser capaces de sopesar cada situación individualmente. Nos consideramos moralmente obligados a presentar un informe en el momento en que sospechamos que se está haciendo un mal uso de la debilidad o de los datos, o que usted ha compartido el conocimiento sobre la debilidad con otros. Puede estar seguro de que un descubrimiento fortuito en nuestro entorno online no dará lugar a una denuncia.
    Para agradecerle su ayuda, ofrecemos una recompensa por cada informe sobre un problema de seguridad que aún no conozcamos. Determinamos la cuantía de la recompensa en función de la gravedad de la filtración y la calidad del informe.

Nuestro objetivo es resolver todos los problemas con la mayor rapidez posible, mantener informadas a todas las partes implicadas y estar dispuestos a participar en cualquier publicación sobre el problema una vez resuelto.