Envío a
Estados Unidos flagEstados Unidos

🔥 ¡Envío FedEx reducido para CORE One! 🚀

$USD
Español
Iniciar sesión

Política de Seguridad de Prusa 3D

Introducción

Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad que estés considerando reportar a Prusa Research a.s. (la "Organización") siempre que el sitio web de la Organización tenga un archivo security.txt publicado que haga referencia a esta política.

Recomendamos leer esta política de divulgación de vulnerabilidades en su totalidad antes de informar sobre una vulnerabilidad y actuar siempre de acuerdo con ella.

Valoramos a quienes se toman el tiempo y el esfuerzo de informar sobre las vulnerabilidades de seguridad de acuerdo con esta política. Recompensaremos cualquier informe de seguridad relevante que evaluemos que merece la pena proceder, ya sea de forma económica o material, según la gravedad del problema.

Informar

Si crees que has encontrado una vulnerabilidad de seguridad relacionada con el sistema de la Organización, envía un informe de vulnerabilidad a la dirección definida en el campo CONTACTO de la publicación del archivo security.txt.

En tu informe, incluye detalles sobre:

  • El sitio web, la IP o la página donde se puede observar la vulnerabilidad.
  • Una breve descripción del tipo de vulnerabilidad, por ejemplo; "vulnerabilidad XSS".
  • Pasos para reproducir. Deben ser una prueba de concepto benigna y no destructiva. Esto ayuda a garantizar que el informe pueda ser clasificado rápidamente y con precisión. También reduce la probabilidad de que se dupliquen los informes, o la explotación maliciosa de algunas vulnerabilidades, como la toma de subdominios.

Qué se puede esperar

Una vez que hayas enviado su informe, te responderemos en un plazo de 5 días laborables y trataremos de analizarlo en un plazo de 10 días laborables. También nos proponemos mantenerte informado de nuestros progresos.

La prioridad de la corrección se evalúa teniendo en cuenta el impacto, la gravedad y la complejidad del exploit. Los informes de vulnerabilidad pueden tardar algún tiempo en ser clasificados o resueltos. Puedes consultar el estado de los mismos, pero debes evitar hacerlo más de una vez cada 14 días. Esto permite a nuestros equipos centrarse en la corrección.

Te notificaremos cuando la vulnerabilidad reportada sea remediada, y podrás ser invitado a confirmar que la solución cubre la vulnerabilidad adecuadamente.

Una vez resuelta su vulnerabilidad, agradeceremos las solicitudes de divulgación de tu informe. Nos gustaría unificar nuestra orientación, por lo que te rogamos que sigas coordinando la divulgación pública con nosotros.

Orientación

NO deberás:

  • Infringir cualquier ley o reglamento aplicable.
  • Acceder a cantidades innecesarias, excesivas o significativas de datos.
  • Modificar datos en los sistemas o servicios de la Organización.
  • Utilizar herramientas de exploración invasivas o destructivas de alta intensidad para encontrar vulnerabilidades.
  • Intentar o informar de cualquier forma de denegación de servicio, por ejemplo, saturar un servicio con un alto volumen de peticiones.
  • Interrumpir los servicios o sistemas de la Organización.
  • Presentar informes que detallen las vulnerabilidades no explotables, o informes que indiquen que los servicios no se ajustan plenamente a las "mejores prácticas", por ejemplo, la falta de cabeceras de seguridad.
  • Presentar informes que detallen los puntos débiles de la configuración de TLS, por ejemplo, el soporte de conjuntos de cifrado "débiles" o la presencia de soporte de TLS1.0.
  • Comunicar cualquier vulnerabilidad o detalles asociados que no sean los medios descritos en el security.txt publicado.
  • Ingeniería social, "phishing" o ataque físico al personal o a la infraestructura de la organización.
  • Exigir una compensación económica para revelar cualquier vulnerabilidad.

Deberás:

  • Cumplir siempre con las normas de protección de datos y no violar la privacidad de los datos que posee la Organización. No debe, por ejemplo, compartir, redistribuir o no asegurar adecuadamente los datos recuperados de los sistemas o servicios.
  • Eliminar de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o en el plazo de un mes desde la resolución de la vulnerabilidad, lo que ocurra primero (o según lo exija la ley de protección de datos).

Legalidades

Esta política está diseñada para ser compatible con las buenas prácticas comunes de divulgación de vulnerabilidades. No le da permiso para actuar de ninguna manera que sea incompatible con la ley, o que pueda hacer que la Organización o las organizaciones asociadas incumplan cualquier obligación legal.