Vimar: a. Confirmará la recepción de tu señalización en un plazo de 14 días laborables; b. Proporcionará un número de seguimiento unívoco para tu señalización; c. Asignará a una persona de contacto para cada caso presentado; d. Avisará a los equipos técnicos internos interesados.
Vimar te mantendrá informado/a sobre el estado de tu señalización.
Si la vulnerabilidad reside efectivamente en un componente o servicio de terceros, que forman parte de nuestro producto/servicio, enviaremos la señalización a dichos terceros y te informaremos sobre dicha notificación. Para dicho fin, te rogamos indicarnos en tu correo electrónico, si autorizas en dichos casos facilitar tus datos de contacto a terceros.
Tras haber recibido una señalización de vulnerabilidad, Vimar;a. Verificará la vulnerabilidad señalada; b. Trabajará para buscar una solución; c. Realizará una prueba de control de la calidad/convalidación de la solución; d. Entregará la solución; e. Compartirá las lecciones aprendidas con los equipos de desarrollo.
Vimar utilizará los procesos de notificación de los clientes existentes para gestionar la entrega de parches o correcciones de seguridad, que pueden incluir, sin limitaciones y únicamente a juicio de Vimar, la notificación directa al cliente o la entrega pública de una notificación de aviso en nuestro sitio web.
Importante
Abstenerse de incluir información personal sensible en posibles capturas de pantalla u otros anexos proporcionados por el usuario.
No efectuar pruebas de vulnerabilidad en aplicaciones, productos o servicios que se estén usando activamente. Las pruebas de vulnerabilidad se han de efectuar únicamente en dispositivos o aplicaciones, productos o servicios no actualmente en uso o no destinados al uso.
Utilizar entornos de demostración/prueba para efectuar pruebas de vulnerabilidad con aplicaciones, productos o servicios basados en la web.
No aprovechar la vulnerabilidad o el problema que has descubierto; por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando algún dato. Intenta no borrar o utilizar datos pertenecientes a otros usuarios.
En el marco de la coordinación responsable de la divulgación de las vulnerabilidades, te pedimos colaborar con Vimar para seleccionar las fechas de entrega pública para la información sobre las vulnerabilidades descubiertas.
Los esfuerzos para buscar las vulnerabilidades no han de desembocar en acciones desproporcionadas, como, por ejemplo, sin limitaciones: a. Utilización de la ingeniería social para obtener acceso o información; b. Instalar o construir backdoor en una aplicación informativa, un producto o un servicio con la intención de utilizarlo para demostrar la vulnerabilidad; c. Utilizar una vulnerabilidad más de lo necesario para determinar su existencia. d. Aportar modificaciones a la aplicación, al producto o al servicio; e. Acceso repetido a la aplicación, producto o servicio o compartir el acceso con otros; f. Utilización de ataques de fuerza bruta para acceder a la aplicación, al producto o al servicio. No es una vulnerabilidad en sentido estricto, sino intentos repetidos de probar contraseñas.
Vimar dará pleno crédito a los investigadores que realizan una señalización de vulnerabilidad o ejecutan pruebas, sobre la información de entrega de parches o correcciones de seguridad entregadas públicamente, cuando así se requiera.