POLÍTICA DE DIVULGACIÓN RESPONSABLE

Fecha de entrada en vigor: 18 de junio de 2025 

Última actualización: 18 de junio de 2025 

En Addverb Technologies Private Limited, incluidas sus subsidiarias (“ Addverb "), nos tomamos la seguridad muy en serio. Reconocemos el valioso papel que desempeñan los investigadores de seguridad independientes para ayudarnos a mantener los más altos estándares de ciberseguridad. Esta Política de Divulgación Responsable ("Política") describe el proceso mediante el cual los investigadores de seguridad pueden informar sobre posibles vulnerabilidades de seguridad en Addverb los activos digitales de manera legal, responsable y ética. 

Al seguir esta Política, los investigadores de seguridad pueden contribuir a la seguridad y resiliencia general de nuestros sistemas, al tiempo que garantizan que permanecerán protegidos frente a acciones legales, siempre que cumplan estrictamente los términos aquí establecidos. 

Alcance de la política 

Esta política se aplica a addverb .com y sus subdominios, operados o administrados por Addverb que están cubiertos explícitamente bajo dominios públicos. 

Esta Política no autoriza: 

1. Cualquier acceso a sistemas más allá del alcance previsto. 

2. Pruebas en activos no públicos o de terceros. 

3. Violación de las leyes aplicables. 

A los efectos de esta Política, “Investigador de Seguridad” significa cualquier persona o entidad que, de buena fe, interactúa con Addverb Los sistemas, servicios o productos de [nombre del sitio web] con el único fin de informar sobre una vulnerabilidad de seguridad de acuerdo con esta Política. Esto incluye a hackers éticos, investigadores independientes, cazadores de recompensas de errores y cualquier otra parte que envíe dichos informes. 

Proceso de divulgación responsable 

Solicitamos a todos los investigadores de seguridad: 

1. Actuar de buena fe y dentro de los límites de la ley. 

2. Evite cualquier acción que pueda causar daño, interrupción o pérdida a Addverb o sus clientes. 

3. Proporcionar un informe detallado, incluidos los pasos para reproducir el problema, el impacto potencial y la solución recomendada. 

4. No revele la vulnerabilidad al público ni a ningún tercero hasta que Addverb proporciona permiso expreso por escrito, con antelación. 

Informes 

Para informar una vulnerabilidad, envíenos un correo electrónico a addverb 

Su informe debe incluir: 

1. Una descripción clara de la vulnerabilidad. 

2. La fecha y hora del descubrimiento. 

3. Impacto asumido 

4. Servicios o URL afectados. 

5. Instrucciones paso a paso para reproducir el problema. 

6. Cualquier captura de pantalla, registro o código de prueba de concepto relevante. 

7. Solución recomendada 

Addverb acusará recibo dentro de 7 días hábiles y tratará de evaluar y resolver los problemas válidos dentro de un plazo técnicamente razonable. Addverb puede optar por ignorar las presentaciones de las partes que presenten un gran volumen de informes de baja calidad. 

Exclusiones 

• Las vulnerabilidades que no demuestren impacto en la seguridad se considerarán fuera del alcance de este programa. 

• Vulnerabilidades relacionadas con los registros SPF/DMARC/DKIM sin prueba verificable de suplantación  

• Preocupaciones sobre mejores prácticas, como cookies que no son de sesión y que no están marcadas como seguras y que son solo HTTP, configuración SSL/TLS, encabezados de seguridad faltantes, etc. 

• Vulnerabilidades reportadas por herramientas automatizadas y escáneres sin prueba de concepto adicional 

• Ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS) 

• Spam, ataques de fuerza bruta o pruebas que involucran datos personales. 

• Exploits que necesitan acceso físico al dispositivo de la víctima 

• Inyección del encabezado del host 

• Bibliotecas vulnerables previamente conocidas sin una prueba de concepto funcional 

• Cualquier tipo de ataque de suplantación de identidad o cualquier ataque que conduzca a phishing (por ejemplo, suplantación de correo electrónico, captura de credenciales de inicio de sesión con una página de inicio de sesión falsa) 

• Errores que requieren una interacción del usuario extremadamente improbable, es decir, ataques de ingeniería social, tanto contra usuarios como contra Addverb empleados, en particular. 

• Divulgaciones de claves API de terceros sin impacto o que se supone que son públicas. En concreto, las claves API de Google Maps expuestas y las claves en archivos XML de Android.  

• OPCIONES / TRACE Métodos HTTP habilitados 

• Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt, CSS/imágenes, etc.) 

• Presencia de la funcionalidad de 'autocompletar' o 'guardar contraseña' en la aplicación o navegador web 

• Cualquier tipo de vulnerabilidad que requiera la instalación de software como complementos del navegador web, etc. en la máquina de la víctima 

• Fuerza bruta en formularios (por ejemplo, página de boletín informativo o contacto) 

• Faltan mejores prácticas en la política de seguridad de contenido. 

• Encabezados SSL y CAA faltantes 

• Errores funcionales, de UI y UX y errores ortográficos. 

Las violaciones de las exclusiones enumeradas anteriormente pueden resultar en la descalificación de las protecciones de puerto seguro y posibles acciones legales. 

Sin recompensas 

No se ofrece ni se proporciona ninguna compensación monetaria por informar sobre vulnerabilidades. Esta política no pretende fomentar ni autorizar pruebas de penetración, escaneos ni intentos de piratería contra... Addverb La infraestructura de tecnología de la información no es sino la de proporcionar un marco responsable y seguro bajo el cual se puedan comunicar y remediar las divulgaciones legítimas de vulnerabilidades de seguridad. 

Addverb se reserva el derecho de evaluar cada propuesta caso por caso. A su entera discreción, Addverb puede optar por proporcionar gestos de agradecimiento no monetarios, como un reconocimiento público o una carta de reconocimiento, sujeto a un acuerdo mutuo y solo cuando el Investigador de Seguridad haya cumplido con todos los términos de esta Política. 

Puntos para recordar 

• No explote ninguna vulnerabilidad más allá de lo necesario para probar su existencia. 

• No acceda, copie, descargue ni altere datos que no le pertenecen. 

• No interrumpa la disponibilidad de ningún sistema o servicio durante la prueba. 

• No intente obtener acceso a las cuentas o credenciales de otros usuarios. 

• Toda actividad debe permanecer dentro del alcance y los límites establecidos en esta Política. 

Indemnidad 

Al enviar un informe de vulnerabilidad según esta Política, el Investigador de Seguridad acepta indemnizar, defender y eximir de responsabilidad Addverb , sus afiliados, funcionarios, directores, empleados y agentes de y contra todos y cada uno de los reclamos, daños, responsabilidades, pérdidas, costos y gastos (incluidos los honorarios de abogados) que surjan de o estén relacionados con la conducta, acciones u omisiones del Investigador de Seguridad que incumplan los términos de esta Política, violen las leyes aplicables o causen daño a Addverb o cualquier tercero. 

Aviso legal y exención de responsabilidad 

Addverb se reserva todos los derechos legales en caso de cualquier incumplimiento de esta Política, incluidos los derechos a iniciar procedimientos penales o civiles según las leyes aplicables y la legislación internacional pertinente. 

Esta política no otorga ninguna licencia (expresa o implícita) para acceder Addverb sistemas o para realizar pruebas de seguridad. Addverb se reserva el derecho de modificar o retirar esta Política en cualquier momento sin previo aviso. La participación no crea ninguna relación contractual entre Addverb e investigador de seguridad. 

Contáctenos 

Todas las preguntas, comentarios o informes de vulnerabilidad bajo esta Política deben dirigirse a addverb