Programa de Divulgación Responsable de Vulnerabilidades

Acerca de este programa

En InvGate, estamos comprometidos con la protección de nuestros clientes y sus datos. Como parte de nuestra estrategia general de seguridad, en InvGate damos la bienvenida a las contribuciones de investigadores de seguridad externos que encuentren vulnerabilidades y nos ayuden a mejorar la seguridad de nuestros sistemas y clientes. Si has descubierto un problema de seguridad que crees que InvGate debería conocer, nos encantaría trabajar contigo. InvGate reconoce y celebra a quienes contribuyen con hallazgos valiosos e impactantes a través de los changelogs del producto: los investigadores pueden elegir si sus contribuciones a la seguridad de InvGate son públicas o no. Nuestro programa se aplica a las vulnerabilidades encontradas en nuestros sistemas y productos dentro del alcance, tal como se describe a continuación. Al colaborar con nosotros de manera confidencial, se reconocerán los hallazgos válidos.

Nota legal: se presenta la siguiente traducción de la política del RVDP para su conveniencia. Se deja constancia que la versión en inglés es la que aplicará, interpretará y ejecutará por defecto - ninguna traducción tiene peso legal y existen para aumentar la accesibilidad de idiomas.

Reglas del Programa

Las siguientes métodos de prueba y ataques no están dentro del alcance de este programa:

  • Exfiltración de datos como resultado directo de vulnerabilidades de software. Si se encuentra tal vulnerabilidad, los investigadores deben contactar al equipo de InfoSec de InvGate antes de explotarla y esperar instrucciones. La exfiltración no autorizada de datos antes de discutir un procedimiento con el equipo de InfoSec de InvGate constituirá motivo para acciones legales.
  • Ataques de Denegación de Servicio distribuidos o generales, aunque podrían aceptarse hallazgos de rate-limit y throttling, dependiendo de las circunstancias y detalles técnicos del hallazgo.
  • Phishing, smishing o vishing a empleados de InvGate.
  • Intentar obtener información de cuentas de otros usuarios. Si crees haber encontrado un problema que puede comprometer los datos o la sesión de otra cuenta, debes probar solo en tus cuentas de prueba y no en el entorno de ningún cliente de InvGate, y notificarnos de inmediato.
  • Uso de automatización para realizar fuerza bruta en credenciales de inicio de sesión.
  • Scraping manual o automatizado de grandes secciones del sitio para enumerar IDs de usuarios, nombres de usuario, correos electrónicos u otra información de usuarios/empleados
  • Reportes sobre la falta de mejores prácticas de seguridad, como encabezados HSTS, CSP, CORS sin evidencia concreta de explotación.

Reglas de Cuentas de Prueba

Antes de realizar pruebas en el sitio, debes observar y aceptar las siguientes reglas:

  • Los intentos de recopilar información de una cuenta que no sea la que estás utilizando deben limitarse a la(s) cuenta(s) que controles. Está prohibido recopilar información de una cuenta a la que no se tenga acceso. Si se desea probar la recopilación de información o la escalada a otro usuario,deberá crearse una cuenta demo para cada uno de estos propósitos.
  • Para todas las solicitudes HTTP que se hagan en marco de una investigación de vulnerabilidades, el encabezado X-InvGate-VulnerabilityResearcher:(correo electrónico) debe ser usado para indicar que el entorno del producto de InvGate está relacionada con el programa de divulgación responsable (RVDP). Esto nos ayuda a solucionar posibles problemas derivados de las pruebas que se realicen.

Política de Safe Harbor

1. Términos de Safe Harbor

Para fomentar la investigación de seguridad y la divulgación responsable de vulnerabilidades relacionadas con la seguridad, InvGate declara que no emprenderá acciones civiles o penales, ni notificará a las fuerzas del orden por violaciones accidentales o de buena fe de los Términos y Condiciones del Programa de Divulgación Responsable de Vulnerabilidades de InvGate ("la política de RVDP"). Dado que InvGate tiene presencia internacional, la legislación de los siguientes países podría aplicarse: Estados Unidos, Argentina y la Unión Europea.

1.A.InvGate considera que las actividades de investigación de seguridad y divulgación de vulnerabilidades realizadas de manera coherente con la política de RVDP están "autorizadas" bajo el Código Penal Argentino, así como la DMCA (por la ubicación geográfica de la infraestructura de la empresa en los Estados Unidos) y cualquier otra ley de uso de computadoras aplicable. A menos que surjan casos específicos (para los cuales se notificará al investigador con antelación), InvGate renuncia a cualquier posible reclamo legal contra los investigadores por eludir las medidas tecnológicas implementadas para proteger el producto dentro del alcance de nuestra política de RVDP.
1.B.Si los hallazgos de un investigador involucran redes, sistemas, información, aplicaciones, productos o servicios de un tercero (que no sea InvGate), InvGate no puede vincular a ese tercero a la renuncia de InvGate, y estos pueden emprender acciones legales o notificar a las fuerzas del orden. InvGate no puede autorizar la investigación de seguridad en nombre de otras entidades externas y no puede ofrecer defensa, indemnización o protección a los investigadores de cualquier acción de terceros basada en tus acciones. En este caso, se recomienda enviar la vulnerabilidad al programa de divulgación de ese tercero; los investigadores deben copiar a rvdp@invgate.com en el informe solo si hay un componente propietario de InvGate dentro de la investigación presentada.
1.C.Se espera que se cumplan con todas las leyes aplicables al investigador (que comprenden nacionalidad y ubicación geográfica del mismo al momento de realizar la investigación), y que no se interrumpa, distribuya, publique ni comprometa ningún dato, infraestructura o continuidad del negocio más allá de lo permitido por nuestra política de RVDP.
1.D.Los investigadores deben contactar a InvGate antes de realizar acciones que puedan ser inconsistentes, no conformes o no abordadas por la política de RVDP. InvGate se reserva todos los derechos para determinar si una violación de esta política fue accidental o de buena fe. Contactar proactivamente con nosotros antes de realizar cualquier acción es un factor importante en esa decisión.

2. Medidas de Safe Harbor de terceros

Si se envía un informe a través de nuestro programa de divulgación responsable de vulnerabilidades (RVDP) que afecta a un servicio de terceros que InvGate emplea o no emplea, por defecto InvGate limitará la información compartida con dicho tercero afectado. InvGate puede compartir contenido no identificativo del informe de un investigador con un tercero afectado solo después de notificar a los investigadores nuestra intención de enviar el contenido y tras obtener el compromiso por escrito del tercero de que no emprenderá acciones legales contra los investigadores ni iniciará contacto con las fuerzas del orden basándose en nuestro informe o en el de los investigadores. InvGate no compartirá información identificatoria con ningún tercero afectado sin obtener primero tu permiso por escrito, en cumplimiento con GDPR y leyes locales de Argentina y Estados Unidos.

2.A. InvGate no autoriza pruebas fuera del alcance en nombre de terceros, y tales pruebas están fuera del alcance de nuestra política. InvGate prohíbe la investigación de productos, servicios o infraestructura de terceros realizada a través del uso no conforme y no autorizado de cualquier producto, servicio o infraestructura de InvGate. Además, InvGate prohíbe el uso de cualquier artefacto de autenticación (incluyendo, pero no limitado a, contraseñas, tokens de API y credenciales) que se encuentre, filtre u obtenga como resultado de investigaciones conforme o no conforme con el RVDP de InvGate, para realizar investigaciones de seguridad y vulnerabilidades en los productos, servicios o infraestructura del tercero afectado.

Por ejemplo, si se encuentra un token de API creado y utilizado por InvGate dirigido a un tercero como resultado de una investigación dentro del alcance de InvGate, dicho token de API no deberá usarse para realizar investigaciones de vulnerabilidad de seguridad en los productos, servicios o infraestructura del tercero. Se podrían iniciar acciones legales si el investigador no cumple con esto.

2.B. Los investigadores deben referirse a la política de divulgación responsable de vulnerabilidades o recompensas por errores de ese tercero, si existe, o contactar directamente al tercero o a través de un representante legal antes de iniciar cualquier prueba en ese tercero o sus servicios. Esto no es, y no debe entenderse como, un acuerdo por parte de InvGate para defender, indemnizar o proteger a los investigadores de cualquier acción de terceros basada en tus acciones.
2.C. En caso de que se inicie una acción legal por parte de un tercero, incluidas fuerzas del órden locales e internacionales, contra los investigadores debido a su participación en este RVDP, y si los investigadores han cumplido adecuadamente con nuestra política de RVDP (es decir, no han cometido violaciones intencionales o de mala fe), InvGate tomará medidas para reconocer el cumplimiento de las acciones de los investigadores dentro de la política de RVDP de InvGate. Aunque InvGate considera los informes presentados como documentos confidenciales y potencialmente privilegiados, por lo tanto, protegidos de la divulgación obligada en la mayoría de las circunstancias, los investigadores deben ser conscientes de que un tribunal podría, a pesar de nuestras objeciones, ordenar que compartamos información con un tercero en cualquier grado.
2.D. InvGate se reserva el derecho de autorizar escritos públicos y otros formatos de publicación de las vulnerabilidades encontradas por parte del investigador o investigadores que las hayan encontrado, para preservar la confidencialidad de los activos críticos, en caso de que aplique. Los investigadores deben solicitar autorización primero, y un proceso de revisión interna aprobara o rechazara la solicitud del investigador en un plazo no superior a 10 días laborables.

3. Renuncia Limitada de Otras Políticas del Sitio

En la medida en que las actividades de investigación de seguridad de un individuo sean inconsistentes con ciertas restricciones en nuestras políticas del sitio relevantes, pero al mismo tiempo sean consistentes con los términos de nuestro programa RVDP, InvGate renuncia temporalmente a esas restricciones con el único y limitado propósito de permitir tu investigación de seguridad bajo este programa RVDP, previo a una revisión interna con el departamento legal de InvGate.

Reglas de reconocimiento de envíos

InvGate se reserva el derecho de reconocer a un investigador por los hallazgos que envíe. Como parte de este acuerdo, el investigador acepta no divulgar un problema antes de que se implemente una solución y obtener autorización previa antes de cualquier divulgación. El incumplimiento de estas reglas podría resultar en una prohibición a la participación futura en este programa o acciones legales.

Cómo enviar tu informe

Todos los informes deben dirigirse a rvdp@invgate.com. Por favor, indique los siguientes datos en su correo electrónico

  1. Su nombre completo o seudónimo (obligatorio)
  2. Si desea o no que se le reconozca públicamente en los registros de cambios de nuestro producto
  3. Perfil en Github/LinkedIn/Mastodon/X (opcional)

Para garantizar que InvGate pueda revisar y validar adecuadamente los hallazgos, el investigador debe seguir estas normas para tu envío:

  1. Descripción: Proporciona una descripción clara de tu hallazgo.
  2. Pasos a reproducir: Incluye pasos detallados para reproducir el problema.
  3. Información de la cuenta: Si es aplicable, proporciona el nombre de la cuenta utilizada para la prueba. Esto nos ayuda a verificar estados específicos de la cuenta y solucionar el problema, incluyendo el tipo de rol de usuario (por ejemplo, usuario, gerente, administrador).
  4. Descripción del Impacto: Describe el impacto en nuestro entorno, clientes, datos o empleados.
  5. Evidencia: Incluye una captura de pantalla, video o código de prueba de concepto para ayudarnos a reproducir el problema.
  6. Detalles del Navegador: Especifica la versión del navegador web o 'User-Agent' utilizado durante las pruebas, ya que esto puede afectar el endpoint o flujo de trabajo.
  7. Software y SO: Cuando sea aplicable, enumera las versiones de software y los sistemas operativos afectados.

Elegibilidad para el reconocimiento público

  • Se está en pleno acuerdo con las reglas, términos y condiciones establecidas en este documento.
  • El investigador no es un empleado actual de InvGate, ni ha sido empleado en los seis meses anteriores a la presentación de un informe.
  • El investigador debe ser la primera persona en informar este problema.
  • El investigador no intentará acceder a información personal perteneciente a otro usuario, incluidas las explotaciones de vulnerabilidades
  • El investigador no realizará ataques o pruebas de seguridad contra proveedores, socios o terceros que puedan estar en uso.

Alcance

Esta sección enumera los activos, sitios web, productos y servicios que se consideran dentro del alcance y fuera del alcance. Esta lista está sujeta a cambios sin previo aviso y debe revisarse antes de enviar un hallazgo. Cualquier cosa que no se enumera aquí se considera fuera del alcance.

Activos dentro del alcance

  • *.invgate.com (hosts y registros DNS)
  • *.invgate.net (hosts y registros DNS)
  • APIs públicas
    InvGate Service ManagementInvGate Asset Management
  • Agente de InvGate Asset Management (IGAM)
    WindowsLinuxmacOSiOSAndroid
  • Aplicación móvil (iOS)
    InvGate Service Management

Vulnerabilidades fuera del alcance

  • Métodos HTTP TRACE, TRACK o OPTIONS habilitados.
  • Hallazgos de clickjacking no explotables, como páginas que faltan con X-Frame-Options (a menos que se pruebe su explotación).
  • Errores lógicos que no representen un riesgo de seguridad inmediato o explotable. Informes de Cross-Site Request Forgery en características con un comportamiento similar a CSRF (por ejemplo, webhooks).
  • Informes de Cross-Site Request Forgery en características con un comportamiento similar a CSRF (por ejemplo, webhooks).
  • Ataques de Denegación de Servicio, generales o distribuídos.
  • Falta de implementación de mejores prácticas de seguridad sin explotación demostrable
  • Ataques de fuerza bruta de credenciales y toma de control de cuentas mediante phishing y otros medios externos a los productos de InvGate.
  • Spam o ingeniería social
  • Complejidad de contraseñas
  • Fallos de aplicaciones móviles que no conducen a un problema de seguridad o abuso.
  • Vulnerabilidades que requieren de dispositivos con jailbreak o acceso físico a un dispositivo desbloqueado para ser explotadas.

Si crees que has encontrado un problema que afecta a un activo de nuestra propiedad, pero no está incluido en el alcance aquí, por favor contáctanos.

Puntuación de Severidad

El gráfico siguiente se basa en el sistema de puntuación de vulnerabilidades comunes (CVSS) v3.1 de Mitre.

SeveridadPuntajeEjemplos
Crítica9.0-10.0Divulgación de PII, ejecución remota de comandos, inyección SQL, inyección de código, bypass total de autenticación o autorización, escalada desde cuentas no privilegiadas o semi-privilegiadas a admin/root
Alta7.0-8.9Cross-site scripting, SSRF, bypass parcial de autenticación o autorización.
Media4.0-6.9Directory traversal, CSRF, falta de flags de cookies seguras en cookies de sesión.
Baja1.0-3.9Divulgación de información menor, falta de flags HTTPOnly en cookies, etc.

InvGate no ofrece actualmente compensación por las vulnerabilidades notificadas. Si esto cambiara en el futuro, se actualizará esta política.

People Cert service desk v7Pink Elephant Compliant SoftwareTrust Center

Service Management

ITAM

Aprende

InvGate

Compara con

Política de privacidadPolítica de calidadPolitica de CookiesTérminos y CondicionesAcuerdo Marco de SuscripciónAccesibilidadRVDP© InvGate