Política de Divulgación
Vingcard cree que la divulgación de vulnerabilidades es esencial para mejorar la calidad de nuestros productos y servicios, la seguridad de nuestros clientes que dependen de ellos, y para aumentar la conciencia sobre las opciones relativas a la preservación de sus intereses específicos. Vingcard valora los conocimientos de la comunidad de investigación en seguridad y acoge con agrado la divulgación y colaboración con esta comunidad.
Vingcard valora la perspicacia y el compromiso de los investigadores en seguridad y otros investigadores de vulnerabilidades para hacer del mundo un lugar más seguro mediante el descubrimiento de vulnerabilidades en soluciones de seguridad y proporcionando mecanismos para reportarlas de manera privada con legitimidad e integridad.
La Divulgación responsable garantiza que la infraestructura de acceso de seguridad sea probada y demuestre ser confiable. Además, el compromiso de mitigar las vulnerabilidades tranquiliza a nuestros clientes y a la industria de la seguridad en su conjunto.
A continuación la política de divulgación responsable de Vingcard:
- Vingcard revelará las vulnerabilidades conocidas y sus soluciones a sus clientes de una manera que proteja a Vingcard° y a sus clientes. Las divulgaciones realizadas por Vingcard incluirán el crédito a la persona que identificó la vulnerabilidad por primera vez, a menos que la persona que la notificó solicite lo contrario.
- Vingcard está abierta a la comunicación y a trabajar con investigadores de seguridad que vienen a Vingcard con un interés compartido por mejorar la seguridad y coordinar la distribución de información que incluye tanto la vulnerabilidad como la solución que la aborda.
- Vingcard reconocerá públicamente en un asesoramiento por escrito el trabajo de un investigador de seguridad que aporta a la empresa información válida sobre una vulnerabilidad de forma privada y, a continuación, trabajará con Vingcard para coordinar el anuncio público después de que Vingcard y sus clientes hayan desarrollado y probado en su totalidad una solución o parche dentro de un plazo razonable para que sea eficaz e implementado.
- Los investigadores de seguridad pueden publicar un enlace al asesoramiento de Vingcard en sus propios sitios web como reconocimiento por minimizar los riesgos para el bien común y ayudar a los usuarios finales a protegerse.
Pedimos a la comunidad de investigadores de seguridad que trabaje con Vingcard para coordinar la divulgación pública de una vulnerabilidad. La revelación premadura de una vulnerabilidad pública sin notificar antes a Vingcard podría perjudicar a las organizaciones, exponiendo información confidencial y poniendo a las personas y las organizaciones en peligro de ataques maliciosos.
Por este motivo, Vingcard aboga firmemente por un proceso de dos pasos: en primer lugar, la divulgación privada de una posible vulnerabilidad a Vingcard. Una vez que la vulnerabilidad ha sido validada, resuelta y Vingcard y sus clientes han tenido tiempo razonable para implementar la solución, Vingcard coordina la divulgación pública, que incluye el reconocimiento del descubrimiento del investigador en seguridad, asegurando que se dé crédito a la(s) persona(s) correcta(s).
También pedimos a los investigadores que reconozcan que nuestra acción para investigar, validar y remediar las vulnerabilidades notificadas varía en función de la complejidad y la gravedad. Comunicaremos los plazos previstos, los cambios y colaboraremos siempre que sea posible. Además, solicitamos que los investigadores no realicen mecanismos de Denegación de Servicio, comprometan la infraestructura de usuarios de Vingcard o información personal.
Al igual que otras empresas líderes, Vingcard aplica las mejores prácticas de la industria para la divulgación coordinada de vulnerabilidades, con el fin de proteger el ecosistema de seguridad, garantizar que los clientes reciban la información de mayor calidad y promover el debate público sobre formas de mejorar productos, protocolos, metodologías, estándares y soluciones.
Invitación a actuar
Si crees que has descubierto una vulnerabilidad, haz clic en el enlace "Directrices de Reporte" en el menú de este Centro Vingcard para obtener instrucciones sobre cómo contactar al Equipo de Respuesta de Seguridad de Vingcard para reportar tu hallazgo de manera privada.