SharkNinja y sus filiales («SharkNinja») se comprometen a proteger la confidencialidad de la información personal de los consumidores y empleados, la disponibilidad de sus sitios web y sistemas de información, y la seguridad de nuestros dispositivos conectados a Internet. Incorporamos medidas de seguridad en nuestras plataformas y productos conectados, y cumplimos con los requisitos de seguridad de IoT aplicables. Esta política tiene como objetivo brindar a los investigadores de seguridad pautas claras para llevar a cabo actividades de detección de vulnerabilidades y comunicar nuestras preferencias sobre cómo enviarnos las vulnerabilidades detectadas para su revisión. Te invitamos a contactarnos para reportar vulnerabilidades en nuestros sitios web, sistemas y productos
Si realiza un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada únicamente en la medida en que cumpla con todas las condiciones de esta política y se encuentre dentro del Alcance definido a continuación, y trabajaremos con usted para comprender y resolver rápidamente los problemas reportados. SharkNinja no recomendará ni emprenderá acciones legales relacionadas con su investigación, siempre y cuando no haya excedido el alcance de esta política, actuado de mala fe o violado ninguna ley aplicable
Tenga en cuenta que SharkNinja no opera un programa de recompensas por errores y no ofrece ninguna recompensa o compensación a cambio de la presentación de posibles problemas de seguridad o vulnerabilidades.
Pautas
SharkNinja sugiere las siguientes pautas para los investigadores que puedan reportar una vulnerabilidad o realizar investigaciones legítimas. En el marco de esta política, «investigación» se refiere a actividades en las que usted:
- Notifíquenos lo antes posible después de descubrir un problema de seguridad real o potencial
- Haga todo lo posible por evitar violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos
- Utilice exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad
- No utilice un exploit para comprometer o extraer datos, establecer un acceso no autorizado persistente o utilizar el exploit para pivotar hacia otros sistemas
- Nos conceda un plazo razonable para resolver el problema antes de revelarlo públicamente
Una vez que haya determinado que existe una vulnerabilidad o haya encontrado datos confidenciales (incluida información de identificación personal, información financiera o información de propiedad exclusiva o secretos comerciales de cualquier parte), debe detener su prueba, notificarnos de inmediato y no revelar estos datos a nadie más. Debe eliminar o destruir de forma permanente cualquier dato confidencial de este tipo que tenga en su poder tan pronto como sea posible después de notificarlo a SharkNinja, y certificar dicha destrucción si se le solicita. Usted se compromete a mantener la confidencialidad de todos los detalles de cualquier vulnerabilidad descubierta hasta que SharkNinja haya confirmado que la vulnerabilidad ha sido subsanada o haya autorizado su divulgación pública por escrito
Reportar una vulnerabilidad
Por favor, envíe un correo electrónico a [email protected] para reportar una vulnerabilidad. Para ayudarnos a clasificar y priorizar los envíos, recomendamos que su informe incluya:
- Cuándo se identificó la vulnerabilidad o el problema
- Describa el sistema o producto en el que se descubrió la vulnerabilidad
- Describa los pasos necesarios para reproducir la vulnerabilidad
- Cualquier sugerencia o idea de solución para abordar la vulnerabilidad
SharkNinja se compromete a acusar recibo de todas las notificaciones en un plazo de 3 días hábiles y agradece la participación en este programa.
En el caso de divulgaciones de vulnerabilidades relacionadas con productos conectados (o «IoT»), SharkNinja proporcionará actualizaciones periódicas hasta que se resuelva la vulnerabilidad reportada.
Alcance
El alcance de este programa incluye todos los sitios web de SharkNinja que sean propiedad de la empresa o para los que esta tenga licencia; todos los sistemas empresariales conectados a Internet; y los productos conectados a Internet y las aplicaciones móviles asociadas. El programa no incluye:
- Campañas de ingeniería social o phishing dirigidas a los empleados de SharkNinja
- Ataques de denegación de servicio (DoS) contra los sitios web o las aplicaciones comerciales de SharkNinja
- Cualquier otra actividad no autorizada con fines maliciosos
Póngase en contacto con SharkNinja en [email protected] si tiene preguntas sobre este programa o para informar de una vulnerabilidad.