Política de divulgación de vulnerabilidades
Política de divulgación de vulnerabilidades
# Introducción
(En ANTHBOT, estamos revolucionando Cuidado del césped con nuestros innovadores cortacéspedes robóticos. Fundada por ingenieros experimentados, nos comprometemos a proporcionar tecnología de vanguardia para que la jardinería sea más fácil, eficiente y placentera. En mayo de 2023, nuestro modelo insignia, Pion, debutó con la exclusiva tecnología C-TOF, que ofrece funciones inteligentes. Características como el corte en forma de U, la monitorización en tiempo real y la detección de puntos de ruptura. Desde su lanzamiento, Pion se ha ganado la confianza y satisfacción de clientes en todo el mundo. Nuestro modelo de próxima generación, Genie, que se lanzará en agosto de 2024, combina tecnología RTK e IA, representando el futuro del cuidado del césped. Nos centramos en la sostenibilidad y la innovación para ayudarle a mantener fácilmente un césped exuberante y vibrante. Gracias por elegir ANTHBOT.
Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad que usted esté considerando reportarnos (a la "Organización"). Le recomendamos leer esta política de divulgación de vulnerabilidades en su totalidad antes de reportar una vulnerabilidad y actuar siempre en cumplimiento con la misma.
Valoramos a quienes dedican tiempo y esfuerzo a informar sobre vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas económicas por la divulgación de vulnerabilidades.
# Informes
Si cree haber encontrado una vulnerabilidad de seguridad, envíenos su informe a través del siguiente enlace o correo electrónico:
[Sitio web oficial: https://www.anthbot.com]
[Servicio al cliente: support@anthbot.com]
En su informe, por favor incluya:
Detalles de la vulnerabilidad:
- Activo (dirección web, dirección IP, nombre del producto o servicio) donde se puede observar la vulnerabilidad.
- Debilidad (e.g. CWE) (opcional)
- Gravedad (e.g. CVSS v3.0) (opcional)
- Título de la vulnerabilidad (obligatorio)
- Descripción de la vulnerabilidad (debe incluir un resumen, archivos de apoyo y posibles medidas de mitigación o recomendaciones) (obligatorio)
- Impacto (¿qué podría hacer un atacante?) (obligatorio)
- Pasos para reproducir el problema. Debe tratarse de una prueba de concepto inofensiva y no destructiva. Esto ayuda a garantizar que el informe se pueda clasificar de forma rápida y precisa. Además, reduce la probabilidad de informes duplicados o de la explotación maliciosa de ciertas vulnerabilidades, como la toma de control de subdominios.
Datos de contacto opcionales:
- Nombre
- Dirección de correo electrónico
# Qué esperar
Después de que haya enviado su informe, le responderemos en un plazo de 5 días. Nuestro objetivo es evaluar su informe en un plazo de 10 días hábiles. Asimismo, nos esforzaremos por mantenerle informado sobre el progreso.
La prioridad de la remediación se evalúa considerando el impacto, la gravedad y la complejidad de la vulnerabilidad. La clasificación y resolución de los informes de vulnerabilidad puede demorar. Puede consultar el estado de su informe, pero le recomendamos evitar hacerlo más de una vez cada 14 días. Esto permite que nuestros equipos se concentren en la remediación.
Le notificaremos cuando se haya solucionado la vulnerabilidad reportada y es posible que le invitemos a confirmar que la solución cubre adecuadamente dicha vulnerabilidad.
Una vez resuelta la vulnerabilidad, agradecemos las solicitudes para divulgar su informe. Nos gustaría unificar las directrices para los usuarios afectados, por lo que les rogamos que continúen coordinando con nosotros la publicación de su informe.
# Guía
No:
- Incumplir cualquier ley o reglamento aplicable
- Acceder a cantidades de datos innecesarias, excesivas o significativas.
- Modificar datos en los sistemas o servicios de la organización.
- Utilice herramientas de escaneo invasivas o destructivas de alta intensidad para encontrar vulnerabilidades.
- Intentar o denunciar cualquier forma de denegación de servicio, e.g. sobrecargar un servicio con un alto volumen de solicitudes
- Interrumpir los servicios o sistemas de la organización.
Historia
| Historial del documento | ||
| V1.1.1 | Julio de 2024 | Publicación |
|
|
|
|