Programar una demo

Política de divulgación de vulnerabilidades

SharpSpring de Constant Contact (SharpSpring) se toma muy en serio la seguridad de nuestras plataformas y los datos de nuestros usuarios. Si ha descubierto o cree haber descubierto posibles vulnerabilidades de seguridad en un servicio de SharpSpring, le recomendamos que nos informe de su descubrimiento lo antes posible de acuerdo con este Programa de divulgación de vulnerabilidades. Tenga en cuenta que el Programa de divulgación de vulnerabilidades es diferente de una recompensa por errores. El Programa de Divulgación de Vulnerabilidades permite a los hackers éticos encontrar y reportar vulnerabilidades, pero no proporciona una compensación monetaria. SharpSpring se reserva el derecho de aceptar o rechazar cualquier envío.

Puerto seguro

Si descubre e informa vulnerabilidades de seguridad de acuerdo con este [Programa de divulgación de vulnerabilidades], consideramos que esta investigación es:

  • autorizado de acuerdo con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) (y/o leyes estatales similares), y no iniciaremos ni respaldaremos acciones legales en su contra por violaciones accidentales y de buena fe de esta Política de Divulgación Voluntaria;
  • Está exento de la Ley de derechos de autor del milenio digital (DMCA), y no presentaremos un reclamo contra usted por eludir los controles tecnológicos;
  • Exento de restricciones en nuestro Términos de Servicio que interferiría con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada para el trabajo realizado bajo este [Programa de divulgación de vulnerabilidades]; y
  • Legal, útil para la seguridad general de Internet y realizado de buena fe.

Se espera, como siempre, que cumpla con todas las leyes aplicables. Si en algún momento tiene inquietudes o no está seguro de si su investigación de seguridad es consistente con este [Programa de divulgación de vulnerabilidades], comuníquese con nosotros antes de continuar.

Elegibilidad

No puede participar en este programa si es un empleado o familiar de un empleado, o un proveedor actual o empleado de dicho proveedor, de SharpSpring o cualquiera de sus subsidiarias. También tiene prohibido participar si se encuentra (i) en un país o territorio que es objeto de sanciones estadounidenses (incluidos Cuba, Irán, Siria, Corea del Norte o la región de Crimea en Ucrania), (ii) designado como país especialmente Designado Nacional o Persona Bloqueada por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los EE. UU. o de otro modo propiedad, control o actuando en nombre de dicha persona o entidad, o (iii) de otra manera una parte prohibida bajo las leyes de control de exportaciones y comercio de los EE. UU.

Política de divulgación discrecional:

Debido a que la divulgación pública de una vulnerabilidad de seguridad podría poner en riesgo a toda la comunidad de SharpSpring, le solicitamos que mantenga la confidencialidad de dichas vulnerabilidades potenciales hasta que podamos abordarlas. Por lo tanto, la divulgación pública de los detalles del envío de cualquier vulnerabilidad identificada o supuesta sin el consentimiento expreso por escrito de SharpSpring considerará que el envío no cumple con esta Política de divulgación de vulnerabilidades. 

Descubrimiento de vulnerabilidades de seguridad

Fomentamos la investigación de seguridad responsable en los servicios y productos de SharpSpring. Le permitimos realizar investigaciones y pruebas de vulnerabilidad en los servicios y productos de SharpSpring a los que tiene acceso autorizado. En ningún caso su investigación y pruebas implicarán, sin limitación:

  • Acceder o intentar acceder a cuentas o datos que no le pertenecen a usted o a sus usuarios autorizados,
  • Cualquier intento de descargar, modificar o destruir cualquier dato,
  • Ejecutar o intentar ejecutar un ataque de denegación de servicio,
  • Enviar o intentar enviar correos electrónicos no solicitados o no autorizados, spam u otras formas de mensajes no solicitados,
  • Probar sitios web, aplicaciones o servicios de terceros que se integren con cualquier servicio de SharpSpring,
  • Publicar, transmitir, cargar, vincular, enviar o almacenar malware, virus o software dañino similar, o intentar interrumpir o degradar los servicios de SharpSpring.
  • Cualquier actividad que viole cualquier ley aplicable.

Informes de vulnerabilidades de seguridad dentro del alcance

Si cree que ha descubierto un problema de vulnerabilidad de seguridad, comparta los detalles con SharpSpring completando nuestro Formato de solicitud. Trabajaremos con usted para validar y responder a las vulnerabilidades de seguridad que nos informe. Su informe se enviará a nuestro socio (BugCrowd) para su reconocimiento y verificación oportunos. Se le otorgan "puntos" por cada informe realizado válidamente aceptado. Debes ser la primera persona en reportar el error para ganar todos los puntos posibles.

Los problemas verificados se pasarán a nuestros equipos de desarrollo para su corrección en un plazo acorde con la gravedad del problema (como se define en la taxonomía de calificación de vulnerabilidad de BugCrowd). {https://bugcrowd.com/vulnerability-rating-taxonomy}

No envíe correos electrónicos sobre vulnerabilidades directamente a los empleados de SharpSpring. La comunicación por correo electrónico entre usted y SharpSpring, incluidos, entre otros, los correos electrónicos que envíe a SharpSpring para informar sobre una posible vulnerabilidad de seguridad, no debe contener ninguna información de su propiedad. El contenido de todas las comunicaciones por correo electrónico que envíe a SharpSpring se considerará no patentado. SharpSpring, o cualquiera de sus afiliados, puede usar dicha comunicación o material para cualquier propósito, incluidos, entre otros, la reproducción, divulgación, transmisión, publicación, transmisión y publicación posterior.

 

Fuera del ámbito 

La siguiente es una lista parcial de los problemas que le pedimos que no informe, a menos que crea que existe una vulnerabilidad real:

  • CSRF en formularios que están disponibles para usuarios anónimos
  • Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
  • Sugerencias de configuración de extensiones de seguridad del sistema de nombres de dominio (DNSSEC)
  • Divulgación de pancartas sobre servicios comunes/públicos
  • Sugerencias de configuración de encabezado de seguridad HTTP/HTTPS/SSL/TLS
  • Falta de indicadores Secure/HTTPOnly en cookies no confidenciales
  • Falsificación de solicitud entre sitios de cierre de sesión (cierre de sesión CSRF)
  • Técnicas de Phishing o Ingeniería Social
  • Presencia de la funcionalidad de 'autocompletar' o 'guardar contraseña' de la aplicación o del navegador web
  • Configuración del marco de políticas del remitente (SPF) y sugerencias de autenticación, informes y conformidad de mensajes basados ​​en el dominio (DMARC)

Al participar en este Programa de Divulgación de Vulnerabilidades, usted reconoce que ha leído y acepta los Términos de Servicio y Aviso de privacidad, así como las  Términos de divulgación estándar de BugCrowd. En caso de conflicto entre los Términos de servicio de SharpSpring y los Términos de divulgación estándar de BugCrowd, prevalecerán los Términos de servicio de SharpSpring.