Responsible disclosure

En Taxi2airport.com consideramos que la seguridad de nuestros sistemas tiene máxima prioridad. Sin embargo, aunque hagamos todo lo posible por desarrollar un sistema de seguridad fiable, es posible que en ocasiones surjan ciertas vulnerabilidades.

Si encuentras cualquier vulnerabilidad, nos gustaría saberlo para que podamos tomar las medidas adecuadas y solucionarla con la mayor brevedad posible. Por este motivo, queremos pedirte que nos ayudes a proteger mejor tanto a nuestros clientes como a nuestros sistemas.

¿Qué debes hacer en caso de encontrar alguna vulnerabilidad en la seguridad de nuestros sistemas?

  • Envíanos un informe, preferiblemente a través de un correo electrónico cifrado (nuestra clave pública PGP está disponible en https://keybase.io/transferz), a la dirección security@transferz.com.
  • No abuses de la vulnerabilidad o el problema descubierto, es decir, no descargues más datos de los necesarios para demostrarlo, ni elimines o modifiques los datos de otras personas, por ejemplo.
  • No divulgues el problema a otras personas hasta que se haya solucionado.
  • No emplees técnicas de ataque sobre la seguridad física, ingeniería social, denegación de servicio distribuido, spam o aplicaciones de terceros.
  • Proporciona suficiente información para explicar el problema para que podamos solucionarlo a la mayor brevedad posible. Por lo general, basta con proporcionar la dirección IP o la URL del sistema afectado y una descripción de la vulnerabilidad descubierta, aunque ciertas vulnerabilidades complejas pueden requerir explicaciones más detalladas.

¿Qué haremos nosotros?

  • Responderemos a tu informe en el plazo de 10 días laborables y te enviaremos nuestra evaluación del mismo, así como la fecha de solución prevista.
  • Si has seguido las instrucciones anteriores, no emprenderemos ningún tipo de acción legal contra ti con respecto al informe.
  • Trataremos tu informe con estricta confidencialidad y no transferiremos tus datos personales a terceros sin tu permiso.
  • Te mantendremos informado del progreso de resolución del problema.
  • En la información pública relacionada con el problema comunicado, indicaremos tu nombre como persona que ha descubierto el problema (salvo que solicites lo contrario).
  • Haremos todo lo posible por solucionar cualquier problema con la mayor brevedad posible, así como por desempeñar un papel activo en la publicación final del problema una vez se haya resuelto.

Ten en cuenta: por el momento no ofrecemos recompensas económicas por comunicar vulnerabilidades del sistema.

Documento redactado por Floor Terra y publicado bajo la licencia de Atribución 3.0 No portada de Creative Commons.