VWO Logo
Panel
Solicitar demo

Política de transparencia responsable

Wingify se toma en serio la seguridad de sus sistemas y valora la comunidad de la seguridad. La transparencia responsable con respecto a las vulnerabilidades de seguridad ayuda a Wingify a garantizar la seguridad y privacidad de sus usuarios.

Pautas generales

Wingify requiere que todos los investigadores:

  • Se esfuercen al máximo para evitar violaciones de la privacidad, degradación de la experiencia de usuario, la disrupción en los sistemas de producción y la destrucción de los datos durante el testing de seguridad.
  • Lleven a cabo la investigación dentro del marco establecido a continuación.
  • Usen los canales de comunicación identificados para informarnos sobre la vulnerabilidad de la información.
  • Cualquier información que recibas o recopiles sobre Wingify, sus clientes o cualquiera de sus usuarios, empleados o agentes en relación con esta política («Información confidencial») debe seguir siendo confidencial. No debes usar, desvelar, publicar o distribuir esta información confidencial ni ningún detalle de vulnerabilidades sin previa autorización por escrito de Wingify.

Si sigues estas pautas generales al informar de un problema, Wingify se compromete a:

  • No emprender o apoyar acciones legales relacionadas con tu investigación.
  • Trabajar contigo para comprender y resolver el problema con rapidez (incluyendo una confirmación inicial de tu informe durante las 72 horas laborales siguientes a su envío).
  • Reconocer tu contribución en nuestro Salón de la fama de investigadores de seguridad (en construcción) si eres el primero en informar del problema y si realizamos un cambio de código o configuración basado en este.

Alcance

  • vwo.com
  • app.vwo.com

Fuera del alcance

Se excluye del alcance cualquier servicio alojado por proveedores o servicios externos.

Para garantizar la seguridad de los usuarios de Wingify, del personal, de todo Internet y la tuya como investigador de seguridad, se excluyen del alcance los siguientes tipos de test:

  • Denegación de servicio
  • Spamming
  • Ingeniería social (incluyendo el phishing) del personal de VWO o colaboradores externos
  • Cualquier intento de acción física contra la propiedad de VWO o sus centros de datos
  • Redireccionamiento o inyección de contenido
  • Self-XSS [para que sean válidos, los problemas de scripting entre sitios deben poder explotarse en tipos almacenados, reflejados o basados en DOM]
  • Cierre de sesión y otras instancias de falsificación de solicitud entre sitios de gravedad baja
  • Redirecciones abiertas con impacto de gravedad baja (se exceptúan los casos en los que el impacto es más alto, como en los robos de tokens de OAuth)
  • Encabezados de seguridad HTTP faltantes
  • Avisos de cookies faltantes en cookies no confidenciales
  • Políticas de recuperación de contraseña y cuenta, como caducidad de enlaces de restablecimiento de contraseñas o complejidad de las contraseñas
  • Registros SPF (Sender Policy Framework) inválidos o faltantes (incompletos o con SPF o DKIM faltantes)
  • Mejores prácticas de SSL y TLS
  • Ataques de reparación de la interfaz de usuario, también conocidos como clickjacking, sin impacto de seguridad práctico
  • Enumeración de correos electrónicos o usuarios mediante mensajes de error de página de contraseña olvidada o de inicio de sesión
    
    

Detalles que no quiere recibir Wingify

  • Información de identificación personal
  • Datos de titulares de tarjetas de crédito

¿Cómo informar sobre una vulnerabilidad de seguridad?

Si crees que has encontrado una vulnerabilidad de seguridad en uno de los productos o plataformas de Wingify, envíanosla por correo electrónico a security@wingify.com. Incluye la siguiente información con tu informe:

  • Descripción de la ubicación y posible impacto de la vulnerabilidad;
  • Descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (nos resultan útiles elementos como scripts POC, capturas de pantalla y capturas de pantalla comprimidas);
  • Tu nombre o usuario y un enlace para reconocer tus esfuerzos e nuestro Salón de la fama.

Si deseas cifrar la información, usa nuestra clave PGP.

Salón de la fama

En Wingify, usamos nuestro programa de Salón de la fama para reconocer a las personas que han compartido de forma responsable una o varias vulnerabilidades de seguridad en nuestros productos, ya que nos permite ofrecer un mejor servicio a nuestros clientes. Puedes obtener más información en el Salón de la fama de investigadores de seguridad.