Política de Divulgación de Vulnerabilidades
VaultPAM toma en serio la seguridad de su plataforma. Esta política describe cómo reportar vulnerabilidades de seguridad y qué puede esperar de nosotros durante el proceso de divulgación.
Cómo reportar
- Envíe un correo electrónico a security@vaultpam.com con una descripción del problema, pasos para reproducirlo y una evaluación del impacto.
- Para reportes sensibles, solicite nuestra clave PGP desde la misma dirección antes de enviar detalles.
- No divulgue la vulnerabilidad públicamente hasta que hayamos confirmado que se ha implementado una solución.
Puertos seguros
La política de puertos seguros próximamente — contacte a security@vaultpam.com para obtener detalles pendientes de revisión legal.
Qué esperar de nosotros
- Reconocimiento dentro de 5 días hábiles.
- Actualizaciones de estado cada 10 días hábiles mientras el problema está bajo investigación.
- Crédito en las notas de la versión (si lo desea) una vez que se publique la solución.
Divulgación coordinada
- Seguimos una línea de tiempo de divulgación coordinada de 90 días.
- Trabajaremos con usted para alinear la fecha de divulgación si la remediación toma más tiempo.
- Las vulnerabilidades críticas que afecten a explotaciones activas pueden divulgarse antes después de la notificación del cliente.
Fuera del alcance
Los siguientes elementos están fuera del alcance de esta política:
- Ataques de denegación de servicio
- Ingeniería social del personal de VaultPAM
- Problemas en servicios de terceros fuera de nuestro control
- Hallazgos de escáneres automatizados sin un impacto demostrado