Merkle cree que todo el mundo debe estar seguro y a salvo en Internet. Merkle está comprometida con mantener la seguridad de los activos, sistemas e información del cliente. Si se identifica cualquier vulnerabilidad en un producto, sistema o activo que pertenezca a Merkle, animamos a los investigadores en seguridad a contactarnos cuanto antes. Si crees que has identificado una posible vulnerabilidad en nuestra seguridad, te rogamos que nos escribas de acuerdo a nuestro Programa de Divulgación Responsable.
Gracias por tu envío. Merkle no opera con ningún tipo de program de bug bounty y no ofrecerá ninguna recompensa o compensación a cambio de informar sobre cualquier posible problema.
Directrices del programa de Divulgación Responsable
Los investigadores deberán asegurar que en el proceso de revelar una posible vulnerabilidad:
- No se verán involucrados en cualquier actividad que pueda dañar a Merkle, a sus clientes o empleados.
- No se verán involucrados en cualquier actividad que pueda degree los servicios o activos de Merkle o causar un parón en ellos.
- No participen en ninguna actividad que viole (a) las leyes o regulaciones aplicables o (b) las leyes o regulaciones de cualquier país donde (i) residan datos, activos o sistemas, (ii) se enrute el tráfico de datos o (iii) el investigador esté realizando una actividad de investigación.
- No participe en ninguna actividad que ponga Merkle en una situación de violación de (a) leyes o regulaciones aplicables o (b) las leyes o regulaciones de cualquier país donde (i) residan datos, activos o sistemas, (ii) el tráfico de datos se enrute o (iii) el investigador esté realizando una actividad investigadora
- Si se identifica alguna información personal, se debe detener inmediatamente la actividad, eliminar los datos relacionados del sistema y ponerse en contacto de inmediato con Merkle. Esto es importante para proteger los datos potencialmente vulnerables y a ti.
- No inicien una transacción financiera fraudulenta.
- No revelen ningún problema a terceros, ni haga dichos problemas públicos.
Al actuar de acuerdo con las pautas anteriores y al enviar responsablemente tus descubrimiento a Merkle, Merkle acepta no emprender acciones legales a menos que una autoridad reguladora, otro tercero o las leyes aplicables lo obliguen a hacerlo.
Una vez que se envía un informe, Merkle se compromete a proporcionar un acuse de recibo inmediato de la recepción de todos los informes (en cualquier caso, dentro de los 5 días hábiles posteriores a la presentación). Cuando sea posible, Merkle hará todos los esfuerzos comercialmente razonables para mantenerte informado del estado de cualquier vulnerabilidad validada que informe a través de este programa.
Format Formato de envío
A la hora de informar sobre una posible vulnerabilidad, te rogamos que incluyas un resumen detallado de la misma, incluyendo:
- Objetivo
- Pasos
- Herramientas
- Objetos
- Puedes incluir capturas de pantalla que ilustren el detalle
Fuera del alcance de las Vulnerabilidades
Ciertas vulnerabilidades se consideran fuera del alcance de nuestro Programa de Divulgación responsable. Las vulnerabilidades fuera del alcance incluyen, pero no se limitan a:
- Prueba física de las instalaciones
- Social engineering. Por ejemplo, intentos de robo de cookies, páginas de registro falsas para recopilar credenciales
- Phishing
- Negación de ataques a servicios
- Ataques de agotamiento de recursos
¿Quieres enviarnos un informe?
Envíanos un correo electrónico a responsibledisclosure@merkleinc.com
