En EVBox, la seguridad de nuestros productos y servicios es una prioridad absoluta. Sin embargo, a pesar de todos nuestros esfuerzos para garantizarla, siempre puede existir alguna vulnerabilidad.

Qué debe hacer

  • Envíe sus hallazgos por correo electrónico a security@evbox.com.
  • No aproveche la vulnerabilidad o el problema descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la falla o eliminando o modificando datos de otras personas.
  • No revele el problema a terceros hasta que haya sido resuelto.
  • No utilice ataques que afecten la seguridad física, ingeniería social, denegación de servicio distribuida (DDoS), spam o aplicaciones de terceros.
  • Proporcione información suficiente para reproducir el problema, de modo que podamos resolverlo lo más rápido posible. Normalmente, la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad serán suficientes, aunque las vulnerabilidades más complejas pueden requerir explicaciones adicionales.
  • Incluya una prueba de concepto. Sin una evidencia razonable de que la vulnerabilidad puede ser explotada, no podremos procesar su informe.

Nuestros compromisos

  • Responderemos a su informe dentro de los tres (3) días laborables, proporcionándole nuestra evaluación y una fecha estimada de resolución.
  • Si ha seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra usted en relación con su informe.
  • Trataremos su informe con estricta confidencialidad y no compartiremos sus datos personales con terceros sin su consentimiento.
  • Le mantendremos informado del progreso hacia la resolución del problema.
  • En la información pública relacionada con la vulnerabilidad reportada, mencionaremos su nombre como descubridor (a menos que prefiera permanecer en el anonimato).
  • EVBox no ofrece actualmente recompensas económicas por los hallazgos reportados.

Nos comprometemos a resolver todos los problemas lo antes posible y deseamos participar activamente en la publicación final del problema una vez solucionado.

Atribución: Esta política es una adaptación del documento Responsible Disclosure elaborado por Floor Terra.