Merkle cree que todo el mundo debe estar seguro y a salvo en Internet. Merkle está comprometida con mantener la seguridad de los activos, sistemas e información del cliente. Si se identifica cualquier vulnerabilidad en un producto, sistema o activo que pertenezca a Merkle, animamos a los investigadores en seguridad a contactarnos cuanto antes. Si crees que has identificado una posible vulnerabilidad en nuestra seguridad, te rogamos que nos escribas de acuerdo a nuestro Programa de Divulgación Responsable.
Gracias por tu envío. Merkle no opera con ningún tipo de program de bug bounty y no ofrecerá ninguna recompensa o compensación a cambio de informar sobre cualquier posible problema.
Directrices del programa de Divulgación Responsable
Los investigadores deberán asegurar que en el proceso de revelar una posible vulnerabilidad:
- No se verán involucrados en cualquier actividad que pueda dañar a Merkle, a sus clientes o empleados.
- No se verán involucrados en cualquier actividad que pueda degree los servicios o activos de Merkle o causar un parón en ellos.
- No participen en ninguna actividad que viole (a) las leyes o regulaciones aplicables o (b) las leyes o regulaciones de cualquier país donde (i) residan datos, activos o sistemas, (ii) se enrute el tráfico de datos o (iii) el investigador esté realizando una actividad de investigación.
- No participe en ninguna actividad que ponga Merkle en una situación de violación de (a) leyes o regulaciones aplicables o (b) las leyes o regulaciones de cualquier país donde (i) residan datos, activos o sistemas, (ii) el tráfico de datos se enrute o (iii) el investigador esté realizando una actividad investigadora
- Si se identifica alguna información personal, se debe detener inmediatamente la actividad, eliminar los datos relacionados del sistema y ponerse en contacto de inmediato con Merkle. Esto es importante para proteger los datos potencialmente vulnerables y a ti.
- No inicien una transacción financiera fraudulenta.
- No revelen ningún problema a terceros, ni haga dichos problemas públicos.
By acting in accordance with the guidelines above and responsibly submitting your findings to Merkle, Merkle agrees not to pursue legal action against you unless it is compelled to do so by a regulatory authority, other third party, or applicable laws
Once a report is submitted, Merkle commits to provide prompt acknowledgement of receipt of all reports (in any event, within 5 business days of submission). Where possible, Merkle shall use commercially reasonable endeavors to keep you reasonably informed of the status of any validated vulnerability that you report through this program
Format Formato de envío
A la hora de informar sobre una posible vulnerabilidad, te rogamos que incluyas un resumen detallado de la misma, incluyendo:
- Objetivo
- Pasos
- Herramientas
- Objetos
- Puedes incluir capturas de pantalla que ilustren el detalle
Fuera del alcance de las Vulnerabilidades
Ciertas vulnerabilidades se consideran fuera del alcance de nuestro Programa de Divulgación responsable. Las vulnerabilidades fuera del alcance incluyen, pero no se limitan a:
- Prueba física de las instalaciones
- Social engineering. Por ejemplo, intentos de robo de cookies, páginas de registro falsas para recopilar credenciales
- Phishing
- Negación de ataques a servicios
- Ataques de agotamiento de recursos
