RESPONSIBLE DISCLOSURE POLICY
Introducción
Transatel se compromete a mantener la disponibilidad, integridad, confidencialidad y trazabilidad de la información que se le confía.
No obstante, en caso de que se descubra una brecha de seguridad, una vulnerabilidad o una filtración de datos relacionada con Transatel, esta página describe nuestra política de divulgación responsable para la gestión de informes de vulnerabilidades y la notificación de problemas.
Todas las notificaciones son bienvenidas, ya sea que provengan de investigadores de seguridad, desarrolladores, clientes o particulares, siempre que se cumplan las siguientes condiciones:
No obstante, en caso de que se descubra una brecha de seguridad, una vulnerabilidad o una filtración de datos relacionada con Transatel, esta página describe nuestra política de divulgación responsable para la gestión de informes de vulnerabilidades y la notificación de problemas.
Todas las notificaciones son bienvenidas, ya sea que provengan de investigadores de seguridad, desarrolladores, clientes o particulares, siempre que se cumplan las siguientes condiciones:
Condiciones
- Mantener la confidencialidad de la información relativa a las vulnerabilidades descubiertas.
- No utilizar herramientas automatizadas ni métodos de ataque como ingeniería social (phishing, fraude, etc.), ataques de denegación de servicio (DoS, DDoS), spam, estafas o acciones que comprometan la seguridad física.
- No explotar las vulnerabilidades más allá de lo estrictamente necesario, por ejemplo, descargando más datos de los requeridos o comprometiendo la integridad de los datos de terceros.
- Proporcionarnos un medio de contacto si desea ser informado del resultado de su informe.
- Enviar los resultados por correo electrónico a security-disclosure[at]transatel.com (Esta dirección está destinada exclusivamente al reporte de vulnerabilidades; cualquier otra consulta no será procesada).
- O, conforme al artículo 47 de la Ley francesa para una República Digital, dirigirse a CERT-FR como autoridad competente: cert-fr[at]ssi.gouv.fr
- No infringir ninguna ley o normativa más allá de lo expresamente cubierto por esta política.
- Aceptar nuestra política de privacidad sin reservas para permitir el tratamiento de su informe.
En su informe
- Anonimice los datos personales.
- Incluya todos los detalles necesarios para reproducir o verificar el problema de seguridad (IP, URL, descripción de la vulnerabilidad, referencia OWASP, CVE o ATT&CK), capturas de pantalla y la lista de productos y servicios afectados.
- Si procede, especifique los detalles de cualquier cuenta de prueba creada.
Tratamiento y confidencialidad
Una vez recibido, su informe será revisado por el equipo de seguridad a la mayor brevedad posible.
Le garantizamos que su notificación será tratada de manera confidencial, de conformidad con los requisitos legales y reglamentarios aplicables.
La participación en el proceso de notificación no otorga ningún derecho de propiedad intelectual.
Si las vulnerabilidades son descubiertas y reportadas de acuerdo con nuestra Responsible Disclosure Policy, no se emprenderán acciones legales contra los informantes. No obstante, en caso de incumplimiento de estas normas, nos reservamos todos los derechos legales.
Por último, informamos que actualmente no ofrecemos ni participamos en ningún programa de Bug Bounty.
Le garantizamos que su notificación será tratada de manera confidencial, de conformidad con los requisitos legales y reglamentarios aplicables.
La participación en el proceso de notificación no otorga ningún derecho de propiedad intelectual.
Si las vulnerabilidades son descubiertas y reportadas de acuerdo con nuestra Responsible Disclosure Policy, no se emprenderán acciones legales contra los informantes. No obstante, en caso de incumplimiento de estas normas, nos reservamos todos los derechos legales.
Por último, informamos que actualmente no ofrecemos ni participamos en ningún programa de Bug Bounty.