Programa de divulgación de vulnerabilidades de Hexagon

Política  

La seguridad de los datos de los clientes gestionados mediante los productos de Hexagon constituye una parte integrante esencial de la visión y misión de Hexagon. Agradecemos cualquier contribución por parte de la comunidad de investigadores externos sobre seguridad a la seguridad de nuestros productos. Si cree que ha encontrado un fallo de seguridad en nuestros productos, estaremos encantados de estudiar cómo resolverlo.

Intentamos mejorar constantemente. Si tiene alguna pregunta sobre nuestros sistemas de seguridad o alguna sugerencia sobre cómo podríamos mejorar el Programa de Divulgación de Vulnerabilidades (VDP, por sus siglas en inglés) de Hexagon, escríbanos a:information.security@hexagon.com).

Productos incluidos

Entrarán dentro del ámbito de aplicación del programa los productos seleccionados por los equipos de productos de Hexagon. Estos productos aparecerán en la lista de selección de productos del formulario de denuncia de vulnerabilidades. Los productos no incluidos en la lista están excluidos del programa VDP. En cualquier caso, será posible denunciar vulnerabilidades relativas a productos no incluidos expresamente en la lista seleccionando la categoría «General» de la lista de productos. Las denuncias serán evaluadas, aunque dedicando a dicha evaluación un esfuerzo razonable.

Divulgación pública

Creemos en la transparencia de nuestra seguridad, de manera que cualquier vulnerabilidad o defecto real que se descubra se comunicará siempre en la documentación del producto dirigida al pública.

Admisibilidad y divulgación responsable

Para promover la detección y denuncia de vulnerabilidades y mejorar la seguridad de los usuarios, le rogamos que:

  • nos informe del problema de seguridad en detalle;
  • le rogamos que respete nuestras aplicaciones actuales; El envío no solicitado de formularios mediante escáneres de vulnerabilidad automatizados no es conforme con una divulgación responsable;
  • denos un tiempo razonable para responder al problema antes de hacer pública cualquier información sobre él;
  • no consulte ni modifique nuestros datos o los datos de nuestros usuarios sin el permiso explícito del titular; interactúe únicamente con sus propias cuentas o cuentas de prueba con fines de análisis de la seguridad;
  • póngase en contacto con nosotros inmediatamente si encuentra datos de usuario de forma involuntaria; no vea, altere, guarde, almacene, transfiera o acceda de cualquier otro modo a los datos, y elimine inmediatamente cualquier información local tras informar de la vulnerabilidad a Hexagon;
  • actúe de buena fe para evitar violaciones de la privacidad, la destrucción de los datos y la interrupción o degradación de nuestros servicios (incluida la denegación del servicio).
  • Por lo demás, cumpla con todas las disposiciones legales aplicables.

Mejores prácticas para la denuncia de vulnerabilidades

Con el fin de garantizar que su denuncia sea lo más eficaz posible y ayudar a los equipos de desarrollo a evaluar y reproducir el error informático, le sugerimos las siguientes mejores prácticas para la notificación de errores.

  1. Elabore un informe más sólido incluyendo información sobre el impacto real y potencial de la vulnerabilidad, así como detalles sobre cómo podría explotarse.
  2. Incluya la metodología que utilizó para encontrar el error informático y los pasos para reproducirlo.
  3. Envíe sus resultados solo después de haberse asegurado de que se ha verificado su error.
  4. Es preferible transmitir las denuncias en inglés; sin embargo, envíe su denuncia en su lengua materna si no es capaz de aportar suficientes detalles en inglés.

Vulnerabilidades fuera del ámbito de aplicación del programa

  • Los siguientes problemas están fuera del ámbito de alcance del VDP:
  • Políticas de contraseñas, direcciones de correo electrónico y cuentas, como la verificación del identificador (ID) del correo electrónico, la caducidad del enlace de restablecimiento de la contraseña y la complejidad de la contraseña.
  • Investigaciones que requieran un acceso físico a nuestros productos.
  • Falta de encabezados de seguridad, de manera que no se conduce directamente a una vulnerabilidad.
  • Ausencia de mejores prácticas (necesitamos pruebas de la vulnerabilidad de la seguridad).
  • Uso de una biblioteca conocida por ser vulnerable (sin pruebas de explotabilidad).
  • Denuncias generadas por herramientas o escáneres automatizados.
  • Ataques que requieran que la aplicación atacante tenga permiso para superponerse a nuestra app (por ejemplo, incitar al usuario para que, sin saberlo, haga clic e introduzca sus datos sensibles en sistemas de recopilación fraudulentos que se superponen a la pantalla de la aplicación lícita, técnica conocida como «tapjacking» o «clickjacking»).
  • Vulnerabilidades que afecten a usuarios de navegadores o plataformas no compatibles.
  • Ingeniería social de los empleados o contratistas de Hexagon.
  • Cualquier atentado físico contra los inmuebles o los centros de datos de Hexagon.
  • Presencia del atributo «autocompletar» en formularios web.
  • Ausencia de avisos de uso de cookies relativos a cookies que recopilen datos no sensibles.
  • Cualquier comunicación que hable de cómo se puede saber si un determinado nombre de usuario o dirección de correo electrónico tiene una cuenta de Hexagon.
  • Cualquier acceso a datos para el cual el usuario objetivo deba operar un dispositivo móvil con acceso root.
  • Cualquier denuncia sobre el secuestro de la biblioteca de enlaces dinámicos (DLL, por sus siglas en inglés) sin demostrar cómo se obtienen nuevos privilegios.
  • Ausencia de limitación de tarifas, a menos que esté relacionada con la autenticación.
  • No desvinculación de los dispositivos (iOS, Android, apps de escritorio) al cambiar la contraseña.

Consecuencias del cumplimiento de la presente política

No emprenderemos acciones civiles ni presentaremos reclamaciones ante las fuerzas del orden por incumplimientos accidentales y de buena fe de esta política. Consideramos que las actividades realizadas de acuerdo con esta política constituyen una conducta «autorizada» en virtud de la Ley de Abuso y Fraude Informático de EE. UU. (Computer Fraud and Abuse Act.). En la medida en que sus actividades sean incompatibles con determinadas restricciones de nuestra Política de Uso Aceptable, renunciamos a la aplicación de esas restricciones con la finalidad exclusiva de permitir la realización de análisis de seguridad con arreglo a esta política. No presentaremos una demanda con arreglo a la Ley de Derechos de Autor de la Era Digital de EE. UU. (Digital Millennium Copyright Act, DMCA) contra usted por eludir las medidas tecnológicas que hemos adoptado para proteger las aplicaciones dentro del ámbito de aplicación del programa.

En el caso de que su denuncia se refiere a una vulnerabilidad de un socio comercial de Hexagon, Hexagon se reserva el derecho de divulgar la información comunicada por usted en su totalidad, incluido su identidad, al socio comercial para facilitar las pruebas y la resolución de la vulnerabilidad denunciada. Si un tercero emprendiese acciones legales contra usted y usted hubiese cumplido con el programa VDP de Hexagon, Hexagon hará saber que usted llevó a cabo sus acciones de conformidad con la presente política.

Hexagon podrá optar, a su entera discreción, por proporcionarle acceso gratuito a los productos de Hexagon. Este acceso tendrá la finalidad exclusiva de permitirle realizar sus pruebas y podrá revocarse en cualquier momento con o sin previo aviso.

Hexagon no cuenta actualmente con un programa de premios por la comunicación de errores informáticos (bug bounty). Todas las notificaciones realizadas a Hexagon en virtud del Programa de Divulgación de Vulnerabilidades se realizarán de buena fe y atendiendo al interés superior de toda la comunidad.