Política de divulgación de vulnerabilidades de Pleo Technologies A/S
Introducción
Pleo Technologies A/S agradece los comentarios de investigadores de seguridad y del público en general para ayudar a mejorar nuestra seguridad. Si crees que has descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos que nos lo cuentes. Esta política describe los pasos a seguir para informarnos sobre vulnerabilidades, lo que esperamos y lo que puedes esperar de nosotros.
Sistemas considerados
Esta política se aplica a cualquier activo digital propiedad, operado o mantenido por Pleo Technologies A/S. Se aplica un plazo de divulgación razonable a las siguientes aplicaciones:
- openapi.pleo.io
La API de Contabilidad de Pleo está organizada en torno a REST; - auth.pleo.io
El servicio de autenticación de Pleo; - app.pleo.io
Pleo ofrece tarjetas de empresa inteligentes que automatizan las notas de gastos y simplifican el gasto de empresa; - api.pleo.io
La API de Pleo es una API genérica para la mayoría de los microservicios de Pleo; - *.pleo.io
Subdominios comodín de Pleo;
Sistemas sin considerar
Bienes u otros equipos que no sean propiedad de las partes que participan en esta política.*
*Los problemas o sospechas sobre el sistema fuera de la aplicación deben reportarse al proveedor adecuado o a la autoridad competente.
Nuestros compromisos
Cuando trabajas con nosotros, según esta política, puedes esperar que:
- Respondamos a tu informe rápidamente y trabajemos contigo para entender y validar tu informe;
- Nos esforcemos por mantenerte informado sobre el progreso de una vulnerabilidad mientras se procesa;
- Trabajemos para remediar las vulnerabilidades descubiertas de manera oportuna, dentro de nuestras limitaciones operativas; y
- Ampliemos el Puerto seguro para tu investigación de vulnerabilidades que esté relacionada con esta política.
Nuestras expectativas
Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, te pedimos que:
- Cumplas con las reglas, incluyendo esta política y cualquier otro acuerdo relevante. Si hay alguna inconsistencia entre esta política y otros términos aplicables, prevalecerán los términos de esta política;
- Informes de cualquier vulnerabilidad que hayas descubierto lo antes posible;
- Evites violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos y/o perjudicar la experiencia del usuario;
- Uses solo los canales oficiales para discutir información sobre vulnerabilidades con nosotros;
- Nos des una cantidad razonable de tiempo (al menos 90 días desde el informe inicial) para resolver el problema antes de que lo divulgues públicamente;
- Realices pruebas solo en sistemas dentro del alcance y respetes los sistemas y actividades que estén fuera del alcance;
- Si una vulnerabilidad proporciona acceso no intencionado a datos: Limita la cantidad de datos a los que accedes al mínimo requerido para demostrar eficazmente una Prueba de concepto. Deja de testear y envía un informe de inmediato si encuentras algún dato de usuario durante las pruebas, como Información de Identificación Personal (PII), Información Personal de Salud (PHI), datos de tarjetas de crédito o información sobre propiedades;
- Solo debes interactuar con cuentas de prueba que poseas o con permiso explícito del titular de la cuenta;
- No participes en extorsiones.
Canales oficiales
Por favor, informa de problemas de seguridad a través de security-vd@pleo.io, proporcionando toda la información relevante. Cuantos más detalles proporciones, más fácil nos será clasificar y solucionar el problema.
Puerto seguro
Al realizar investigación de vulnerabilidades, según esta política, consideramos que esta investigación es:
- Autorizada en relación con cualquier ley anti-hacking aplicable. No iniciaremos ni apoyaremos acciones legales contra ti por violaciones accidentales de buena fe de esta política;
- Autorizada en relación con cualquier ley relevante contra la elusión. No presentaremos una reclamación en tu contra por elusión de controles tecnológicos;
- Exenta de restricciones en nuestros Términos de servicio (TOS) y/o Política de Uso Aceptable (AUP) que interferirían con la realización de investigaciones de seguridad. Renunciamos a esas restricciones de forma limitada; y
- Legal, útil para la seguridad general de Internet y realizada de buena fe.
Se espera que, como siempre, cumplas con todas las leyes aplicables. Si un tercero inicia una acción legal en tu contra y has cumplido con esta política, tomaremos medidas para hacer saber que tus acciones fueron realizadas en cumplimiento de la normativa de esta política.
Si en algún momento tienes preocupaciones o no estás seguro de si tu investigación de seguridad es consistente con esta política, envía un informe a través de uno de nuestros canales oficiales antes de continuar.
Ten en cuenta que la aplicación del Puerto seguro es solo para reclamaciones legales bajo el control de la organización que participa en esta política y que la política no obliga a terceros independientes.