Política de divulgación responsable

Introducción

En DFDS nos tomamos la seguridad muy en serio. Este documento describe los procedimientos de seguridad y las políticas generales para la divulgación de vulnerabilidades de seguridad. Si está pensando en informarnos (la "Organización") de una vulnerabilidad, le recomendamos que lea detenidamente esta política de divulgación de vulnerabilidades antes de hacerlo.

Aunque valoramos a quienes se toman el tiempo y el esfuerzo de informar sobre vulnerabilidades de seguridad de acuerdo con esta política, tenga en cuenta que no ofrecemos recompensas monetarias por la divulgación de vulnerabilidades.

Comunicación

Si cree que ha encontrado una vulnerabilidad de seguridad, comuníquenoslo a través del siguiente correo electrónico: security@dfds.com.

En el informe, incluya los siguientes detalles:

  • El sitio web, el repositorio de Git, la IP o la página donde se puede observar la vulnerabilidad.

  • Una breve descripción del tipo de vulnerabilidad (por ejemplo, "vulnerabilidad XSS").

  • Pasos para reproducir la divulgación.

Asegúrese de que sus pruebas sean inocuas, no destructivas o sirvan como prueba de concepto.

Esta información ayuda a garantizar que el informe se pueda clasificar de forma rápida y precisa.

Siguientes pasos

Cuando nos envíe su denuncia, le responderemos en un plazo de 5 días laborables y trataremos de resolverla en un plazo de 15 días laborables. Le mantendremos informado de nuestros progresos. La prioridad de la corrección se evalúa en función del impacto, la gravedad y la complejidad del exploit. Aunque le invitamos a preguntar por el estado, evite hacerlo más de una vez cada 14 días para que nuestros equipos puedan centrarse en la corrección.

Le notificaremos cuando se haya solucionado la vulnerabilidad comunicada y es posible que se le invite a confirmar que la solución cubre adecuadamente la vulnerabilidad. Una vez resuelta la vulnerabilidad, aceptaremos solicitudes para divulgar su informe. Nuestro objetivo es unificar las instrucciones para los usuarios afectados, por lo que le rogamos que continúe coordinando la divulgación pública con nosotros.

Guía

NO debe:

  • Infringir cualquier ley o normativa aplicable.

  • Acceder a cantidades innecesarias, excesivas o significativas de datos.

  • Modificar datos en los sistemas o servicios de la Organización.

  • Utilizar herramientas de exploración invasivas o destructivas de alta intensidad para encontrar vulnerabilidades.

  • Intentar o denunciar cualquier forma de denegación de servicio, por ejemplo, saturar un servicio con un gran volumen de solicitudes.

  • Interrumpir los servicios o sistemas de la Organización.