SharkNinja y sus afiliadas (“SharkNinja”) están comprometidas con proteger la confidencialidad de la información personal de consumidores y empleados, así como la disponibilidad de sus sitios web y sistemas de información. Esta política tiene por objeto proporcionar a las y los investigadores de seguridad lineamientos claros para llevar a cabo actividades de búsqueda de vulnerabilidades y comunicar nuestras preferencias sobre cómo enviarnos las vulnerabilidades descubiertas para su revisión. Le invitamos a contactarnos para reportar vulnerabilidades en nuestros sitios web, sistemas y productos.
Si realiza un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos su investigación como autorizada y trabajaremos con usted para comprender y resolver los problemas reportados con rapidez. SharkNinja no recomendará ni emprenderá acciones legales relacionadas con su investigación.
Tenga en cuenta que SharkNinja no opera un programa de recompensas por errores (“bug bounty”) y no ofrece recompensas ni compensaciones a cambio de enviar posibles problemas o vulnerabilidades de seguridad.
Pautas
SharkNinja sugiere las siguientes pautas para las personas investigadoras que deseen reportar una vulnerabilidad o realizar investigación legítima. Para efectos de esta política, “investigación” significa actividades en las que usted:
- Nos notifica tan pronto como sea posible después de descubrir un problema real o potencial de seguridad
- Hace todo lo posible por evitar violaciones de privacidad, degradación de la experiencia de usuario, interrupciones en sistemas de producción y destrucción o manipulación de datos
- Utiliza exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad
- No utiliza un exploit para comprometer o exfiltrar datos, establecer accesos no autorizados persistentes ni para pivotar hacia otros sistemas
- Nos otorga un periodo de tiempo razonable para resolver el problema antes de divulgarlo públicamente
Una vez que haya confirmado que existe una vulnerabilidad o si encuentra cualquier dato sensible (incluida información de identificación personal, información financiera o información/proPIedad de cualquier parte), debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a ninguna otra persona.
Reporte de vulnerabilidades
Envíe un correo a [email protected] para reportar una vulnerabilidad. Para ayudarnos a clasificar y priorizar los reportes, le recomendamos incluir:
- Cuándo se identificó la vulnerabilidad o el problema
- Descripción del sistema o producto en el que se descubrió la vulnerabilidad
- Los pasos necesarios para reproducir la vulnerabilidad
- Sugerencias de remediación o ideas para abordar la vulnerabilidad
SharkNinja se compromete a acusar recibo de todos los envíos dentro de los 3 días hábiles y agradece su participación en este programa.
En los casos de divulgaciones de vulnerabilidades relacionadas con productos conectados (o “IoT”), SharkNinja proporcionará actualizaciones periódicas hasta que la vulnerabilidad reportada quede resuelta.
Alcance
El alcance de este programa incluye todos los sitios web de SharkNinja propiedad de la empresa o licenciados por esta; todos los sistemas de negocio con exposición a Internet; y los productos conectados a Internet y sus aplicaciones móviles asociadas. El programa no incluye:
- Campañas de ingeniería social o phishing dirigidas a personas empleadas de SharkNinja
- Ataques de Denegación de Servicio (DoS) contra sitios web o aplicaciones de negocio de SharkNinja
- Cualquier otra actividad no autorizada con intención maliciosa
Para preguntas sobre este programa o para reportar una vulnerabilidad, comuníquese con SharkNinja en [email protected].