Splashtop Inc., un proveedor líder de software y servicios de acceso remoto, se compromete a garantizar la seguridad de nuestros clientes. Con este fin, Splashtop ahora está formalizando nuestra política para aceptar informes de vulnerabilidad en nuestros productos. Esperamos fomentar una asociación abierta con la comunidad de seguridad, y reconocemos que el trabajo que realiza la comunidad es importante para continuar garantizando la seguridad de todos nuestros clientes.

Hemos desarrollado esta política para reflejar nuestros valores corporativos y para mantener nuestra responsabilidad legal con los investigadores de seguridad de buena fe que nos brindan su experiencia.

Postura legal

Splashtop Inc. no emprenderá acciones legales contra las personas que envían informes de vulnerabilidad a través de nuestro Formulario de informe de vulnerabilidad. Aceptamos abiertamente informes para los productos de Splashtop actualmente listados. Acordamos no emprender acciones legales contra personas que:

  • Participen en pruebas de sistemas/investigación sin dañar a Splashtop o sus clientes
  • Participen en pruebas de vulnerabilidad dentro del alcance de nuestro programa de divulgación de vulnerabilidad
  • Póngase en contacto con Splashtop de inmediato si encuentra datos de usuario sin darse cuenta. No vea, altere, guarde, almacene, transfiera ni acceda a los datos, y omita de inmediato cualquier información local al informar la vulnerabilidad a Splashtop.
  • Cumplir con las leyes en su ubicación y la ubicación de Splashtop. Por ejemplo, violar las leyes que solo darían lugar a un reclamo de Splashtop (y no un reclamo penal) puede ser aceptable ya que Splashtop autoriza la actividad (ingeniería inversa o eludir las medidas de protección) para mejorar su sistema.
  • Abstenerse de revelar detalles de vulnerabilidad al público antes de que expire un plazo acordado mutuamente

Preferencia, priorización y criterios de aceptación

Utilizaremos los siguientes criterios para priorizar y clasificar las presentaciones.

Lo que nos gustaría ver de usted:

  • Los informes bien escritos en inglés tendrán una mayor probabilidad de resolución.
  • Los informes que incluyen código de prueba de concepto nos equipan para una mejor selección.
  • Los informes que incluyen solo volcados de memoria u otra información de alguna herramienta automatizada recibirán una prioridad más baja.
  • Los informes que incluyen productos que no están en la lista de alcance inicial pueden recibir menor prioridad.
  • Incluya cómo encontró el error, el impacto y cualquier posible solución.
  • Infórmenos si desea trabajar con nosotros para revelar una vulnerabilidad. Haremos un esfuerzo honesto para trabajar con usted en la divulgación de vulnerabilidades cuando sea posible.

Qué puedes esperar de nosotros:

  • Recibirá comentarios sobre su solicitud dentro de 3 días hábiles posteriores a su envío.
  • Después del triaje, enviaremos una línea de tiempo esperada y nos comprometemos a ser lo más transparentes posible sobre la línea de tiempo de solución, así como sobre los problemas o desafíos que pueden extenderla.
  • Un diálogo abierto para discutir problemas.
  • Notificación cuando el análisis de vulnerabilidad ha completado cada etapa de nuestra revisión.

Si no podemos resolver los problemas de comunicación u otros problemas, Splashtop puede contratar a un tercero neutral (como CERT / CC, ICS-CERT o el regulador correspondiente) para ayudar a determinar la mejor manera de manejar la vulnerabilidad.

Cómo enviar una vulnerabilidad

Para enviar un informe de vulnerabilidad al equipo de seguridad de productos de Splashtop, complete la siguiente información:

Notas de versión

Versión 1.0: Política de divulgación responsable creada (12/05/2020)