Programa de divulgación de vulnerabilidades de Hexagon 

Política  

La seguridad de los datos de los clientes gestionados mediante los productos de Hexagon constituye una parte integrante esencial de la visión y misión de Hexagon. Agradecemos cualquier contribución por parte de la comunidad de investigadores externos sobre seguridad a la seguridad de nuestros productos. Si cree haber encontrado fallos de seguridad en nuestros productos, estaremos encantados de estudiar cómo resolverlos.

Valoramos las contribuciones de la comunidad dedicada a la investigación en materia de seguridad y reconocemos la importancia de adoptar un enfoque coordinado para la comunicación de vulnerabilidades. Si ha descubierto una vulnerabilidad de seguridad, le animamos a que nos lo comunique inmediatamente. Agradecemos la oportunidad de trabajar con usted para resolver el problema lo antes posible.

El cumplimiento de las normas de la industria es importante para nosotros, y nuestro programa está cubierto por las normas Coordinated Vulnerability Disclosure, Safe Harbor, Open Scope, Core Ineligible Findings y Detailed Platform Standards.

Utilice este link para enviar su informe.

Intentamos mejorar constantemente. Si tiene alguna pregunta sobre nuestros sistemas de seguridad o alguna sugerencia sobre cómo podríamos mejorar el Programa de Divulgación de Vulnerabilidades (VDP, por sus siglas en inglés) de Hexagon, escríbanos a: [email protected].

Productos incluidos

Las vulnerabilidades de seguridad identificadas en propiedades digitales operadas, controladas por o propiedad de Hexagon AB se consideran dentro del ámbito de trabajo.

Divulgación pública

Creemos en la transparencia de nuestra seguridad, de manera que cualquier vulnerabilidad o defecto real que se descubra se comunicará siempre en la documentación del producto dirigida al pública.

Admisibilidad y divulgación responsable

Para promover la detección y denuncia de vulnerabilidades y mejorar la seguridad de los usuarios, le rogamos que:

• nos informe del problema de seguridad en detalle;
• le rogamos que respete nuestras aplicaciones actuales; El envío no solicitado de formularios mediante escáneres de vulnerabilidad automatizados no es conforme con una divulgación responsable;
• denos un tiempo razonable para responder al problema antes de hacer pública cualquier información sobre él;
• no consulte ni modifique nuestros datos o los datos de nuestros usuarios sin el permiso explícito del titular; interactúe únicamente con sus propias cuentas o cuentas de prueba con fines de análisis de la seguridad;
• póngase en contacto con nosotros inmediatamente si encuentra datos de usuario de forma involuntaria; no vea, altere, guarde, almacene, transfiera o acceda de cualquier otro modo a los datos, y elimine inmediatamente cualquier información local tras informar de la vulnerabilidad a Hexagon;
• actúe de buena fe para evitar violaciones de la privacidad, la destrucción de los datos y la interrupción o degradación de nuestros servicios (incluida la denegación del servicio).
• Por lo demás, cumpla con todas las disposiciones legales aplicables.

Mejores prácticas para la denuncia de vulnerabilidades

Con el fin de garantizar que su denuncia sea lo más eficaz posible y ayudar a los equipos de desarrollo a evaluar y reproducir el error informático, le sugerimos las siguientes mejores prácticas para la notificación de errores.

1. Elabore un informe más sólido incluyendo información sobre el impacto real y potencial de la vulnerabilidad, así como detalles sobre cómo podría explotarse.
2. Incluya la metodología que utilizó para encontrar el error informático y los pasos para reproducirlo.
3. Envíe sus resultados solo después de haberse asegurado de que se ha verificado su error.
4. Es preferible transmitir las denuncias en inglés; sin embargo, envíe su denuncia en su lengua materna si no es capaz de aportar suficientes detalles en inglés.

Vulnerabilidades fuera del ámbito de aplicación del programa

Los siguientes problemas están fuera del ámbito de alcance del VDP:

• Políticas de contraseñas, direcciones de correo electrónico y cuentas, como la verificación del identificador (ID) del correo electrónico, la caducidad del enlace de restablecimiento de la contraseña y la complejidad de la contraseña.
• Investigaciones que requieran un acceso físico a nuestros productos.
• Falta de encabezados de seguridad, de manera que no se conduce directamente a una vulnerabilidad.
• Uso de una biblioteca conocida por ser vulnerable (sin pruebas de explotabilidad).
• Denuncias generadas por herramientas o escáneres automatizados.
• Ataques que requieran que la aplicación atacante tenga permiso para superponerse a nuestra app (por ejemplo, incitar al usuario para que, sin saberlo, haga clic e introduzca sus datos sensibles en sistemas de recopilación fraudulentos que se superponen a la pantalla de la aplicación lícita, técnica conocida como «tapjacking» o «clickjacking»).
• Presencia de atributos autocompletar en formularios web.
• Cualquier comunicación que hable de cómo se puede saber si un determinado nombre de usuario o dirección de correo electrónico tiene una cuenta de Hexagon.
• Cualquier acceso a datos para el cual el usuario objetivo deba operar un dispositivo móvil con acceso root.
• Cualquier denuncia sobre el secuestro de la biblioteca de enlaces dinámicos (DLL, por sus siglas en inglés) sin demostrar cómo se obtienen nuevos privilegios.
• Ausencia de limitación de tarifas, a menos que esté relacionada con la autenticación.
• No desvinculación de los dispositivos (iOS, Android, apps de escritorio) al cambiar la contraseña.

Consecuencias del cumplimiento de la presente política

No emprenderemos acciones civiles ni presentaremos reclamaciones ante las fuerzas del orden por incumplimientos accidentales y de buena fe de esta política. Consideramos que las actividades realizadas de acuerdo con esta política constituyen una conducta «autorizada» en virtud de la Ley de Abuso y Fraude Informático de EE. UU. (Computer Fraud and Abuse Act.). En la medida en que sus actividades sean incompatibles con determinadas restricciones de nuestra Política de Uso Aceptable, renunciamos a la aplicación de esas restricciones con la finalidad exclusiva de permitir la realización de análisis de seguridad con arreglo a esta política. No presentaremos una demanda con arreglo a la Ley de Derechos de Autor de la Era Digital de EE. UU. (Digital Millennium Copyright Act, DMCA) contra usted por eludir las medidas tecnológicas que hemos adoptado para proteger las aplicaciones dentro del ámbito de aplicación del programa.

En el caso de que su denuncia se refiere a una vulnerabilidad de un socio comercial de Hexagon, Hexagon se reserva el derecho de divulgar la información comunicada por usted en su totalidad, incluido su identidad, al socio comercial para facilitar las pruebas y la resolución de la vulnerabilidad denunciada. Si un tercero emprendiese acciones legales contra usted y usted hubiese cumplido con el programa VDP de Hexagon, Hexagon hará saber que usted llevó a cabo sus acciones de conformidad con la presente política.

Hexagon podrá optar, a su entera discreción, por proporcionarle acceso gratuito a los productos de Hexagon. Este acceso tendrá la finalidad exclusiva de permitirle realizar sus pruebas y podrá revocarse en cualquier momento con o sin previo aviso.

Hexagon no cuenta actualmente con un programa de premios por la comunicación de errores informáticos (bug bounty). Todas las notificaciones realizadas a Hexagon en virtud del Programa de Divulgación de Vulnerabilidades se realizarán de buena fe y atendiendo al interés superior de toda la comunidad.