Política de divulgación responsable

En eu4ua, la seguridad de los datos de los refugiados, anfitriones y voluntarios es nuestra prioridad. El objetivo de esta página (la "Política de divulgación responsable") es proporcionarle toda la información que necesita si ha descubierto una posible vulnerabilidad en cualquiera de nuestros productos o servicios.

Apreciamos mucho la ayuda de nuestra comunidad y nos aseguramos de que cualquier divulgación se haga de forma responsable. Por favor, asegúrese de seguir los términos que se indican a continuación:

Puede enviar los problemas a security@eu4ua.org y por favor incluya la siguiente información:

  • URL o dirección IP afectada
  • una descripción del problema que incluya una lista de pasos para reproducir el problema
  • el período de tiempo durante el cual pudo observar el problema

Como somos una asociación, tenga en cuenta que no ofrecemos un programa de recompensas por errores. Esto significa que no pagamos recompensas por las vulnerabilidades de seguridad reveladas.

ALCANCE

El alcance incluye todos los activos detrás de eu4ua.org, excepto los relacionados con terceros.

LO QUE TE PEDIMOS

  • Cuando busque posibles debilidades en nuestro sistema, asegúrese de configurar el siguiente encabezado. Así nos ayudará a discriminar sus pruebas de un actor malicioso.
X-Bug-Hunter: <nickname>

  • No dude en compartir con nosotros la dirección IP que utilizó para sus pruebas al enviar su informe.
  • Si descubres un problema que revela datos personales (PII), debes asegurarte de que se eliminen tan pronto como hayas hecho la revelación.
  • No infringe ninguna otra ley o reglamento aplicable.

Preguntas frecuentes

¿Qué no debería reportar?

  • Sugerencias de configuración de Sender Policy Framework (SPF), DKIM y DMARC
  • Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
  • Divulgación de anuncio en los servicios comunes/públicos
  • Ataques de phishing o de ingeniería social

¿Cuándo tendré noticias de ustedes después de hacer una declaración?

Nuestro equipo le enviará una respuesta para informarle de que hemos recibido su informe y se pondrá en contacto con usted si necesita más información.

¿Puedo publicar algo sobre la vulnerabilidad después de mi divulgación?

Una vez revisado y solucionado el problema por nuestro equipo, le enviaremos un consentimiento por escrito para divulgar el problema.

Gracias por su apoyo.