Splashtop Inc., proveedor líder de software y servicios de acceso remoto, se compromete a garantizar la seguridad de nuestros clientes. Con este fin, Splashtop está formalizando nuestra política de aceptación de informes de vulnerabilidad en nuestros productos. Esperamos fomentar una asociación abierta con la comunidad de seguridad, y reconocemos que el trabajo que realiza la comunidad es importante para seguir garantizando la seguridad de todos nuestros clientes.

Hemos desarrollado esta política tanto para reflejar nuestros valores corporativos como para mantener nuestra responsabilidad legal con los investigadores de seguridad de buena fe que nos proporcionan su experiencia.

Postura legal

Splashtop Inc. no emprenderá acciones legales contra las personas que envíen informes de vulnerabilidad a través de nuestro formulario de informes de vulnerabilidad. Aceptamos abiertamente los informes para los productos Splashtop actualmente listados. Nos comprometemos a no emprender acciones legales contra los individuos que:

  • Participar en las pruebas de los sistemas/investigaciones sin perjudicar a Splashtop o a sus clientes
  • Participar en pruebas de vulnerabilidad dentro del ámbito de nuestro programa de divulgación de vulnerabilidades
  • Póngase en contacto con Splashtop inmediatamente si encuentra inadvertidamente datos de usuarios. No vea, altere, guarde, almacene, transfiera o acceda a los datos, y purgue inmediatamente cualquier información local tras informar de la vulnerabilidad a Splashtop.
  • Respetar las leyes de su localidad y de la localidad de Splashtop. Por ejemplo, violar las leyes que sólo darían lugar a una reclamación por parte de Splashtop (y no a una reclamación penal) puede ser aceptable ya que Splashtop está autorizando la actividad (ingeniería inversa o eludir las medidas de protección) para mejorar su sistema.
  • Abstenerse de revelar los detalles de la vulnerabilidad al público antes de que expire un plazo acordado mutuamente

Preferencia, priorización y criterios de aceptación

Utilizaremos los siguientes criterios para priorizar y clasificar los envíos.

Lo que nos gustaría ver de usted:

  • Los informes bien redactados en inglés tendrán más posibilidades de resolución.
  • Los informes que incluyen el código de la prueba de concepto nos equipan para un mejor triaje.
  • Los informes que incluyan sólo volcados de fallos u otras salidas de herramientas automatizadas pueden recibir una prioridad menor.
  • Los informes que incluyen productos que no están en la lista de alcance inicial pueden recibir una prioridad menor.
  • Por favor, incluya cómo encontró el fallo, el impacto y cualquier posible remedio.
  • Por favor, háganos saber si desea trabajar con nosotros para revelar una vulnerabilidad. Haremos un esfuerzo honesto para trabajar con usted en la divulgación de las vulnerabilidades cuando sea posible.

Lo que puede esperar de nosotros:

  • Recibirá una respuesta sobre su envío en un plazo de 3 días laborables desde que se haya clasificado el envío.
  • Tras el triaje, enviaremos un plazo previsto y nos comprometemos a ser lo más transparentes posible sobre el plazo de reparación, así como sobre los problemas o desafíos que puedan prolongarlo.
  • Un diálogo abierto para discutir temas.
  • Notificación cuando el análisis de vulnerabilidad ha completado cada etapa de nuestra revisión.

Si no somos capaces de resolver los problemas de comunicación u otros problemas, Splashtop puede traer a un tercero neutral (como CERT/CC, ICS-CERT, o el regulador pertinente) para ayudar a determinar la mejor manera de manejar la vulnerabilidad.

Cómo enviar una vulnerabilidad

Para enviar un informe de vulnerabilidad al equipo de seguridad de productos de Splashtop, rellene la siguiente información:

Este documento fue escrito originalmente en inglés y puede haber sido traducido a diferentes idiomas. En caso de conflicto entre la versión inglesa y su traducción, siempre prevalecerá la versión inglesa.

Notas de la versión

Versión 1.1: Añadido el descargo de responsabilidad por los conflictos entre la versión inglesa y las traducciones (05/05/2021)

Versión 1.0: Creado Política de divulgación responsable (05/12/2020)