SEGURIDAD

La seguridad de nuestros productos y aplicaciones es el núcleo de nuestro negocio. Si encuentras alguna vulnerabilidad en nuestros productos o sistemas, notificanoslo.

¿De qué amenazas puedo informar?

• Sospecho que me han robado mis credenciales de acceso

¿Crees que su cuenta ha sido pirateada o que te han robado tus datos de acceso a piensasolutions? Puedes obtener más información sobre las medidas inmediatas que puedes tomar, encontrar consejos sobre la seguridad de las contraseñas y descubrir qué puedes hacer contra las amenazas online en nuestra página de contacto.

• Recibo spam y correos electrónicos no solicitados

Para reducir el número de correos electrónicos no deseados en tu bandeja de entrada, piensasolutions te ofrece una serie de opciones. Puedes encontrar más información sobre la configuración de nuestros filtros de spam, así como algunos de los trucos que utilizan los spammers, en nuestra página de contacto.

• He recibido lo que parece un correo electrónico de phishing de piensasolutions

¿Has recibido un correo electrónico de piensasolutions pero tienes dudas sobre su autenticidad? En nuestra página de contacto escribenos para verificar el correo electrónico, así como a denunciar los sitios de phishing.

• Me gustaría informar de una vulnerabilidad técnica, como una vulnerabilidad XSS o SQLI

Mantener la seguridad de los datos de nuestros clientes es muy importante para nosotros. piensasolutions apoya el proceso de divulgación responsable y los informes de investigadores de seguridad éticos y bien intencionados. Nos comprometemos a investigar todos los informes y a resolver los problemas para proteger a nuestros clientes. Esta política describe cómo trabaja piensasolutions con la comunidad de seguridad, el alcance y el proceso.

Alcance

Las siguientes vulnerabilidades en los productos y servicios de piensasolutions están en el ámbito de esta política. Animamos a todos los miembros de la comunidad de seguridad a que nos informen de los hallazgos en el ámbito de aplicación.

Todas las vulnerabilidades que afectan a la confidencialidad, integridad o disponibilidad de nuestros productos y servicios y que, por tanto, ponen en riesgo los datos de nuestros clientes.

Las siguientes vulnerabilidades en los productos y servicios de piensasolutions no entran en el ámbito de esta política. Te rogamos que te abstengas de comunicárnoslas:

• Vulnerabilidades de denegación de servicio (es decir, saturar nuestros servicios con un alto volumen de solicitudes)
• Específicos de la configuración de TLS (por ejemplo, que no sea compatible con TLSv1.3, una configuración específica del conjunto de cifrado, etc.)
• Informes que indiquen que nuestros servicios no se ajustan totalmente a las "mejores prácticas" (por ejemplo, falta de cabeceras de seguridad o configuraciones subóptimas relacionadas con el correo electrónico, como SPF, DMARC, etc.)

Programa bug bounty de recompensas

Por el momento, piensasolutions no tiene un programa oficial bug bounty de recompensas por reportar errores.

Cómo informar de una vulnerabilidad

Por favor, lee este documento en su totalidad antes de informar de cualquier vulnerabilidad para asegurarte de que entiendes la política y puedes actuar de acuerdo con ella. Por favor, informa de tu hallazgo en el ámbito (véase la sección anterior) a security@piensasolutions.com y proporciona la siguiente información:

• ¿A quién afecta la amenaza? Siempre que sea posible, incluye las URL afectadas.
• ¿Cómo puede explotarse la vulnerabilidad? Puede ser útil incluir capturas de pantalla para ilustrar la vulnerabilidad.
• Todos los detalles pertinentes, incluidos los pasos necesarios para reproducir el problema. Nota: No incluyas datos sensibles, como tu contraseña, en tu descripción.

Si prefieres una comunicación cifrada, utiliza nuestra clave GPG. Clave-Id: 8ACC8F805E11F43C56A1E1877B9336F47AB09AC1, Fingerprint: 8ACC 8F80 5E11 F43C 56A1 E187 7B93 36F4 7AB0 9AC1. Por favor, no nos envíes información confidencial como tu contraseña o cualquier otro dato personal relacionado con tu persona.

Qué esperar

Una vez que llegue tu reporte, nuestro equipo de seguridad:

• Acusará recibo de tu informe y le asignará un identificador único que figurará en el asunto del correo electrónico. Por favor, mantén el asunto intacto y utiliza el identificador en toda la correspondencia posterior. Solemos responder en el plazo de un día laborable.
• Comprueba la validez de tu información y si el informe es un duplicado de un caso anterior. Si tenemos más dudas, nos pondremos en contacto contigo para hacerte preguntas.
• Si el reporte es válido, se remitirá al equipo interno correspondiente para que lo clasifique y elabore un plan de corrección. Ten en cuenta que esto puede llevar algún tiempo. Te invitamos a preguntar sobre el estado del proceso, pero no lo hagas más de una vez cada 14 días.
• Nos pondremos en contacto contigo una vez que se haya subsanado la vulnerabilidad y es posible que te pidamos que vuelvas a realizar la prueba.

Si tuviéramos la necesidad de compartir tu reporte con otra organización, nos pondremos en contacto contigo con antelación.

piensasolutions no perseguirá a ningún investigador de seguridad que informe, de buena fe y de acuerdo con esta política, de cualquier vulnerabilidad de seguridad en un servicio de piensasolutions.

Comentarios

Si deseas hacer comentarios o sugerencias sobre esta política, ponte en contacto con nuestro equipo de seguridad en la dirección indicada anteriormente.

Tengo otra preocupación o comentario

Si tienes alguna otra inquietud, ponte en contacto con nuestro equipo de Atención al Cliente.