Introducción

¡Bienvenido al Programa de Recompensas por Errores de Technisys! Nuestro compromiso con la seguridad significa que valoramos la contribución de la comunidad de investigación independiente en seguridad. El programa de recompensas por errores de Technisys es privado y solo por invitación, lo que requiere que el Equipo de Seguridad revise y apruebe su solicitud al programa antes de aceptar sus informes.

Program Scope

Nuestro programa de recompensas por errores cubre los siguientes dominios:

• konecta.kona-faas.cloud
• ui.kona-faas.cloud
• gateway.kona-faas.cloud
• www.technisys.com
• *.kona.tech
• konecta.global

Exclusiones del Alcance

Sin ser los dominios mencionados anteriormente, cualquier otro objetivo está explícitamente fuera del alcance. Se aceptarán reportes fuera del alcance, pero no calificarán para recompensas monetarias.

Vulnerabilidades Fuera del Alcance

Para mantener el enfoque y la eficiencia, ciertos tipos de vulnerabilidades se consideran fuera del alcance. Para calificar para las recompensas monetarias, es necesario demostrar un impacto sustancial en los clientes o sistemas de Technisys. A continuación, se presentan ejemplos de vulnerabilidades que no califican para una recompensa monetaria: *Enumeración de nombre de usuario/correo electrónico *Salidas de herramientas de escáneo o informes generados por herramientas de escáneo, incluidas cualquier herramienta de explotación automatizada o activa *Vulnerabilidades que involucren credenciales robadas o acceso físico a un dispositivo *Ataques de ingeniería social por cualquier medio, incluidos los dirigidos o que se hagan pasar por empleados internos *Vulnerabilidades encontradas a través de ataques DDoS o de spam *Auto-XSS, que incluyan cualquier carga útil ingresada por la víctima *Cualquier vulnerabilidad que requiera una interacción significativa e improbable por parte de la víctima, como deshabilitar controles del navegador *CSRF de inicio/salida de sesión *Falsificación de contenido sin embeber un enlace externo o JavaScript *Falta de banderas de cookies en cookies no sensibles a la seguridad *Políticas de recuperación de contraseña y cuenta, cómo la expiración del enlace de restablecimiento de contraseña o complejidad de la contraseña *Intentos de fuerza bruta *Vulnerabilidades que requieren un dispositivo móvil con jailbreak *Falta de cookies y banderas *Problemas relacionados con software o protocolos que no están bajo el control de Technisys *Ataques físicos contra la propiedad y empleados de Technisys *Vulnerabilidades de infraestructura, incluidas: *Problemas relacionados con certificados SSL *Problemas de configuración de DNS *Problemas de configuración del servidor (por ejemplo, puertos abiertos, versiones de TLS, etc.) *Vulnerabilidades que solo afectan a usuarios de navegadores y plataformas obsoletos, sin parches o no soportados, incluida cualquier versión de Internet Explorer *Credenciales expuestas que ya no son válidas o que no representan un riesgo para un activo dentro del alcance *Vulnerabilidades en bibliotecas de terceros sin mostrar un impacto específico en la aplicación objetivo (por ejemplo, un CVE sin exploit) *Falta de SSL o contenido mixto *Pinning de certificados

Reporte

Contáctenos en [email protected] y le proporcionaremos acceso a un portal dedicado donde puede enviar sus hallazgos y participar oficialmente en nuestro programa de recompensas por errores. Este portal también será su puerta de entrada para recibir recompensas y mercancía exclusiva.

Política de Divulgación Responsable

Technisys no promueve, fomenta ni participa en pruebas de seguridad independientes de sus productos y servicios sin autorización. El uso de nuestros productos, servicios y sitios web y aplicaciones externas debe adherirse estrictamente a nuestros Términos de Servicio y cumplir con todas las leyes y regulaciones pertinentes:

1.Si encuentra información que crea que señala un posible problema de seguridad dentro del producto o servicio de Technisys, lo alentamos a compartir esta información con nosotros. Tales contribuciones son invaluables para ayudar en nuestros esfuerzos para mejorar las medidas de seguridad o abordar vulnerabilidades. Al recibirlo a través de canales seguros, investigaremos a fondo el asunto y tomaremos las medidas necesarias según nuestros hallazgos.

2.Por favor, comprenda que el proceso de verificación y corrección de vulnerabilidades informadas requiere tiempo y depende en gran medida del detalle y la precisión de la información proporcionada. Si bien puede que no sea factible para Technisys responder individualmente a cada informe, tenga la seguridad de que investigamos diligentemente cada envío y tomaremos medidas correctivas según sea necesario.

3.Technisys prioriza la confidencialidad en estos asuntos. Nos comprometemos a mantener la confidencialidad de toda la información relacionada con la divulgación de vulnerabilidades.

4.Para garantizar la privacidad y seguridad de nuestros clientes, le instamos a que no divulgue ni difunda detalles sobre una vulnerabilidad potencial y no confirmada públicamente, ya que es posible que no sea elegible para una recompensa.

5.Agradecemos enormemente su cooperación y comprensión en estos asuntos mientras trabajamos juntos para salvaguardar la integridad y seguridad de los servicios y productos de Technisys.

Para preguntas sobre este programa, comuníquese con [email protected].

¡Gracias por ayudarnos a mantener a Technisys y a nuestros usuarios seguros!