Seguridad

En Arsys nos importa tu seguridad

Tal y como se recoge en nuestra Política, la seguridad de nuestros productos y aplicaciones es el núcleo de nuestro negocio. Si encuentras alguna vulnerabilidad en nuestros productos o sistemas, notifícanoslo.

 

¿De qué amenazas puedo informar?

  • Sospecho que me han robado mis credenciales de acceso

¿Crees que su cuenta ha sido pirateada o que te han robado tus datos de acceso a Arsys? Puedes obtener más información sobre las medidas inmediatas que puedes tomar, encontrar consejos sobre la seguridad de las contraseñas y descubrir qué puedes hacer contra las amenazas online en nuestro Centro de Ayuda.

  • Recibo spam y correos electrónicos no solicitados

Para reducir el número de correos electrónicos no deseados en tu bandeja de entrada, Arsys te ofrece una serie de opciones. Puedes encontrar más información sobre la configuración de nuestros filtros de spam, así como algunos de los trucos que utilizan los spammers, en nuestro Centro de Ayuda.

  • He recibido lo que parece un correo electrónico de phishing de Arsys

¿Has recibido un correo electrónico de Arsys pero tienes dudas sobre su autenticidad? En nuestro Centro de Ayuda encontrarás consejos sobre la verificación del correo electrónico, aprenderás a lidiar con los correos electrónicos de phishing, así como a denunciar los sitios de phishing.

Puedes encontrar información general sobre la seguridad online en otros artículos del Centro de Ayuda.

  • Me gustaría informar de una vulnerabilidad técnica, como una vulnerabilidad XSS o SQLI

Mantener la seguridad de los datos de nuestros clientes es muy importante para nosotros. Arsys apoya el proceso de divulgación responsable y los informes de investigadores de seguridad éticos y bien intencionados. Nos comprometemos a investigar todos los informes y a resolver los problemas para proteger a nuestros clientes. Esta política describe cómo trabaja Arsys con la comunidad de seguridad, el alcance y el proceso.

 

Alcance

Las siguientes vulnerabilidades en los productos y servicios de Arsys están en el ámbito de esta política. Animamos a todos los miembros de la comunidad de seguridad a que nos informen de los hallazgos en el ámbito de aplicación.

Todas las vulnerabilidades que afectan a la confidencialidad, integridad o disponibilidad de nuestros productos y servicios y que, por tanto, ponen en riesgo los datos de nuestros clientes.

Las siguientes vulnerabilidades en los productos y servicios de Arsys no entran en el ámbito de esta política. Te rogamos que te abstengas de comunicárnoslas:

  • Vulnerabilidades de denegación de servicio (es decir, saturar nuestros servicios con un alto volumen de solicitudes)
  • Específicos de la configuración de TLS (por ejemplo, que no sea compatible con TLSv1.3, una configuración específica del conjunto de cifrado, etc.)
  • Informes que indiquen que nuestros servicios no se ajustan totalmente a las "mejores prácticas" (por ejemplo, falta de cabeceras de seguridad o configuraciones subóptimas relacionadas con el correo electrónico, como SPF, DMARC, etc.)

 

Programa bug bounty de recompensas

Por el momento, Arsys no tiene un programa oficial bug bounty de recompensas por reportar errores.

 

Cómo informar de una vulnerabilidad

Por favor, lee este documento en su totalidad antes de informar de cualquier vulnerabilidad para asegurarte de que entiendes la política y puedes actuar de acuerdo con ella. Por favor, informa de tu hallazgo en el ámbito (véase la sección anterior) a security@arsys.es y proporciona la siguiente información:

  • ¿A quién afecta la amenaza? Siempre que sea posible, incluye las URL afectadas.
  • ¿Cómo puede explotarse la vulnerabilidad? Puede ser útil incluir capturas de pantalla para ilustrar la vulnerabilidad.
  • Todos los detalles pertinentes, incluidos los pasos necesarios para reproducir el problema. Nota: No incluyas datos sensibles, como tu contraseña, en tu descripción.

Si prefieres una comunicación cifrada, utiliza nuestra clave GPG. Clave-Id: 7A4187A8121BE832B487BE48BFE5B220188CF3A5, Fingerprint: 7A41 87A8 121B E832 B487 BE48 BFE5 B220 188C F3A5. Por favor, no nos envíes información confidencial como tu contraseña o cualquier otro dato personalrelacionado con tu persona.

 

Qué esperar

Una vez que llegue tu reporte, nuestro equipo de seguridad:

  • Acusará recibo de tu informe y le asignará un identificador único que figurará en el asunto del correo electrónico. Por favor, mantén el asunto intacto y utiliza el identificador en toda la correspondencia posterior. Solemos responder en el plazo de un día laborable.
  • Comprueba la validez de tu información y si el informe es un duplicado de un caso anterior. Si tenemos más dudas, nos pondremos en contacto contigo para hacerte preguntas.
  • Si el reporte es válido, se remitirá al equipo interno correspondiente para que lo clasifique y elabore un plan de corrección. Ten en cuenta que esto puede llevar algún tiempo. Te invitamos a preguntar sobre el estado del proceso, pero no lo hagas más de una vez cada 14 días.
  • Nos pondremos en contacto contigo una vez que se haya subsanado la vulnerabilidad y es posible que te pidamos que vuelvas a realizar la prueba.

Si tuviéramos la necesidad de compartir tu reporte con otra organización, nos pondremos en contacto contigo con antelación.

Arsys no perseguirá a ningún investigador de seguridad que informe, de buena fe y de acuerdo con esta política, de cualquier vulnerabilidad de seguridad en un servicio de Arsys.

 

Comentarios

Si deseas hacer comentarios o sugerencias sobre esta política, ponte en contacto con nuestro equipo de seguridad en la dirección indicada anteriormente.

  • Tengo otra preocupación o comentario

Si tienes alguna otra inquietud, ponte en contacto con nuestro equipo de Atención al Cliente.