INMAGINE Security Disclosure Policy

Nos tomamos en serio la seguridad de nuestros sistemas y valoramos la seguridad de nuestros usuarios, colaboradores, clientes y usuarios. La revelación de las vulnerabilidades de seguridad nos ayuda a garantizar la seguridad y la privacidad de nuestros usuarios.

Lineamientos

Si usted visita nuestro sitio web y notó algún problema de seguridad, requerimos que todos los investigadores:
  • Haga todo lo posible por evitar las violaciones de la privacidad, la disminución de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad;
  • Utilizar los canales de comunicación identificados para informarnos de la información sobre la vulnerabilidad; y
  • Mantén la información sobre cualquier vulnerabilidad que hayas descubierto confidencialmente entre tú y INMAGINE hasta que tengamos [90] días para resolver el asunto.

Confidencialidad

Cualquier información que encuentre o recopile sobre INMAGINE o cualquier usuario de INMAGINE a través de los fallos de seguridad debe mantenerse confidencial y sólo se utilizará en relación con nosotros. Está estrictamente prohibido acceder a la información privada de otros usuarios, realizar acciones que puedan afectar negativamente a los usuarios de INMAGINE. No puede usar, revelar o distribuir dicha Información Confidencial, incluyendo, pero no limitándose a, cualquier información relacionada con su Sumisión e información que obtenga al investigar los sitios INMAGINE, sin el consentimiento previo por escrito de INMAGINE.

En el interés de la seguridad de nuestros usuarios, personal, nos gustaría pedirle que se abstenga de:
  • Spamming.
  • La ingeniería social (incluyendo el phishing) del personal de INMAGINE o de los contratistas o clientes.
  • Cualquier intento físico contra la propiedad o los centros de datos de INMAGINE.
  • Criptomanía.
  • Acceder o intentar acceder a datos o información que no le pertenezca.
  • Destruir o corromper, o intentar destruir o corromper, datos o información que no le pertenezca.
  • Causar, o intentar causar, una condición de Denegación de Servicio (DoS/DDoS).

Si usted sigue estas pautas y nos informa inmediatamente, nos comprometemos a:
  • No iniciaremos acciones legales contra los investigadores de seguridad que intenten encontrar vulnerabilidades dentro de nuestros sistemas que se adhieran a esta política.

¿Cómo reportar una vulnerabilidad de seguridad?

Creemos que toda la tecnología contiene fallos y que el público juega un papel crucial en la identificación de estos fallos. Si cree que ha encontrado una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, por favor envíenoslo inmediatamente por correo electrónico a patrick@123rf.com. Por favor, incluya los siguientes detalles en su informe:
  • Descripción de la ubicación y el posible impacto de la vulnerabilidad;
  • Una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts POC, las capturas de pantalla y las capturas de pantalla comprimidas nos son útiles); y
  • Tu nombre/título

Elegibilidad

Aceptamos informes basados en la gravedad no menos de 6 por CVSS 3.1. La gravedad final puede ser ajustada para reflejar el impacto de la vulnerabilidad reportada en nuestros dominios.

Más sobre la puntuación del CVSS 3.1: https://www.first.org/cvss/calculator/3.1


En el ámbito

*.123rf.com

*.pixlr.com

*.designs.ai


Fuera del alcance

Al informar de las vulnerabilidades, deberá considerar el escenario de ataque / explotabilidad, y el impacto de seguridad del fallo. Los siguientes temas se consideran fuera del alcance de este Programa, y no aceptaremos ninguno de los siguientes tipos de ataques:
  • Ataques de denegación de servicio
  • Spam, ingeniería social o técnicas de phishing por correo electrónico (por ejemplo, phishing, vishing, smishing)
  • Falsificación de correo electrónico
  • Cualquier vulnerabilidad de seguridad en el lado del cliente (por ejemplo, navegadores, plugins)
  • Revelación de la versión de software
  • Descarga de archivos reflejados
  • Cualquier problema de acceso físico
  • Páginas de acceso público
  • Cualquier debilidad o revelación de información que no conduzca a una vulnerabilidad directa
  • Correo electrónico o enumeración de la cuenta
  • Ejecución del comando CSV y debilidades del CSP
  • Cualquier vulnerabilidad en aplicaciones o sitios web de terceros generalmente no está dentro del alcance de nuestro Programa.

Cambios en los términos

Inmagine se reserva el derecho de modificar o cancelar este programa Bug Bounty y sus políticas en cualquier momento, sin previo aviso.

Por consiguiente, Inmagine puede modificar estos Términos y/o sus políticas en cualquier momento publicando una versión revisada en el sitio web de Inmagine. Usted acepta los Términos modificados si continúa participando en el Programa Bug Bounty después de que se realicen los cambios en los Términos.