Merkle cree que todo el mundo debería estar seguro y protegido en Internet. Merkle se compromete a mantener la seguridad de nuestros activos, sistemas e información de los clientes. Si se identifica alguna vulnerabilidad potencial en cualquier producto, sistema o activo perteneciente a Merkle, animamos a los investigadores de seguridad a que se pongan en contacto con nosotros lo antes posible. Si crees que has identificado una posible vulnerabilidad de seguridad, por favor envíala de acuerdo con nuestro Programa de Divulgación Responsable.
Gracias de antemano por tu envío. Merkle no gestiona un programa público de recompensas por fallos y no ofrecerá recompensas ni compensaciones a cambio de informar sobre posibles problemas.
Directrices del programa de divulgación responsable
Los investigadores se asegurarán de que, durante el proceso de divulgación de posibles vulnerabilidades:
- No participes en ninguna actividad que pueda causar un daño potencial o real a Merkle, a sus clientes o a los empleados de la compañía.
- No participen en ninguna actividad que pueda degradar potencial o realmente los servicios o activos de Merkle o hacer que se detengan por completo.
- No realicen ninguna actividad que infrinja (a) las leyes o normativas aplicables o (b) las leyes o normativas de cualquier país en el que (i) residan datos, activos o sistemas, (ii) se enrute el tráfico de datos o (iii) el investigador esté llevando a cabo una actividad de investigación.
- No participen en ninguna actividad que suponga para Merkle una infracción de (a) las leyes o reglamentos aplicables o (b) las leyes o reglamentos de cualquier país en el que (i) residan los datos, activos o sistemas, (ii) se dirija el tráfico de datos o (iii) el investigador esté llevando a cabo una actividad de investigación.
- No almacenen, compartan, comprometan ni destruyan los datos de Merkle ni de ningún cliente. Si sidentifica algún dato personal, debes detener inmediatamente la actividad, eliminar los datos relacionados de tu sistema y ponerse en contacto inmediatamente con Merkle. Esto es importante para proteger cualquier dato potencialmente vulnerable, y a ti.
- No inicies ninguna transacción financiera fraudulenta.
- No reveles ningún problema notificado a terceros ni lo publiques.
Al actuar de acuerdo con las directrices anteriores y enviar responsablemente tus hallazgos a Merkle, Merkle se compromete a no emprender acciones legales contra ti a menos que se vea obligada a hacerlo por una autoridad reguladora, un tercero o la legislación aplicable
Una vez enviado el informe, Merkle se compromete a acusar recibo de todos los informes con prontitud (en cualquier caso, en el plazo de 5 días laborables desde su envío). En la medida de lo posible, Merkle hará todo lo comercialmente razonable para mantenerle razonablemente informado del estado de cualquier vulnerabilidad validada que comuniques a través de este programa.
Formato de envío
Cuando notifiques una posible vulnerabilidad, incluye un resumen detallado de la misma. Deberá incluir lo siguiente:
- El objetivo
- Los pasos
- Las herramientas
- Los artefactos
- Puede incluir capturas de pantalla para ilustrar los detalles.
Vulnerabilidades fuera del alcance
Lorem Ciertas vulnerabilidades se consideran fuera del ámbito de nuestro Programa de Divulgación Responsable. Las vulnerabilidades fuera del ámbito incluyen, entre otras:
- Pruebas físicas de las instalaciones
- Ingeniería social. Por ejemplo, intentos de robar cookies, páginas de inicio de sesión falsas para recopilar credenciales
- Phishing
- Ataques de denegación de servicio
- Ataques de agotamiento de recursos