Política de divulgación responsable
En Sprout Social, nos tomamos la seguridad de los datos de nuestros usuarios muy enserio. Alentamos a aquellas personas que hayan descubierto vulnerabilidades potenciales de seguridad en un servicio de Sprout Social a que nos las informen de manera responsable. Esta Política de divulgación responsable describe los pasos para informar vulnerabilidades, qué esperar y lo que puedes esperar de nosotros.
Nuestro compromiso contigo
Para todos aquellos que informen sospechas de vulnerabilidad en línea con esta Política de divulgación responsable, Sprout Social les promete lo siguiente:
- Mantener la confidencialidad con ustedes
- reconocer la recepción de su informe de forma oportuna;
- Evaluar la validez del informe enviado y evaluar su gravedad e impacto
- notificarle cuando se soluciona la vulnerabilidad;
- reconocer públicamente su revelación responsable, si así lo desea.
Alcance, lineamientos y exclusiones
Sprout Social se asocia con Bugcrowd en el Programa de divulgación de vulnerabilidad (VDP). Los recursos dentro del alcance pueden encontrarse en la sección Alcance de la página de VDP de Bugcrowd de Sprout Social.
Solo puedes realizar pruebas de vulnerabilidades de seguridad usando una cuenta del que seas Propietario o si eres un agente autorizado por el Propietario de la cuenta para realizar dichas pruebas.
Todas las pruebas deben llevarse a cabo en conformidad con la Política de divulgación responsable, los Términos de servicio de Sprout Social, Condiciones de servicio los Términos de divulgación estándares de Bugcrowd y todas las demás leyes aplicables.
Sprout Social prohíbe los siguientes tipos de investigación y prueba:
- Acceder o intentar acceder a datos que no te pertenecen
- Ejecutar o intentar ejecutar un ataque por denegación del servicio (DoS/DDoS) o someter la aplicación, los sistemas o las redes a pruebas de estrés
- Enviar o intentar enviar spam, correo electrónico no autorizado o no solicitado, spam u otras formas de mensajes no solicitadas
- Realizar investigaciones a través de ingeniería social u otros medios engañosos (por ej., suplantación de identidad, suplantación de identidad por voz, suplantación de identidad por SMS, manipulación de enlaces)
- Probar sitios web, aplicaciones o servicios de terceros que se integren con Sprout Social
- Publicar, transmitir, cargar, vincular, enviar o almacenar deliberadamente malware, virus o software similares dañinos
- Realizar cualquier forma de prueba de seguridad o auditoría de ubicaciones físicas incluidas, entre otras, las oficinas, los centros de datos y las instalaciones de Sprout Social
- Investigaciones llevadas a cabo por menores, personas en listas de sanciones o personas en países con listas de sanciones
- Cualquier actividad prohibida por los Términos de divulgación estándares de Bugcrowd
Puerto seguro
Sprout Social se reserva todos sus derechos legales en caso de falta de cumplimiento con esta Política de divulgación responsable, pero no tiene intención de iniciar medidas legales contra las partes que realicen investigaciones de seguridad y nos divulguen información de buena fe, según lo documentado en esta Política.
Enviar tu informe de vulnerabilidad
Envía todas las sospechas de vulnerabilidad a través de nuestro VDP con Bugcrowd en https://bugcrowd.com/sproutsocial.
No se aceptarán las sospechas de vulnerabilidad que se informen por otro medio, ya sea por correo electrónico, redes sociales o una plataforma de recompensa de errores.
Al notificar cualquier sospecha de vulnerabilidad, incluye la información adecuada para que podamos reproducir tus pasos y dar seguimiento.
Para proteger la privacidad y seguridad de nuestro usuario:
- No divulgues públicamente detalles sobre sospechas de vulnerabilidad que puedas haber identificado sin el consentimiento expreso por escrito de Sprout Social.
- Inmediatamente luego de enviar tu informe, elimina/destruye cualquier copia local o caché de datos que puedas haber recibido o a los que puedas haber tenido acceso durante tu prueba.
Recompensa/compensación
Puedes ser elegible para una recompensa si eres la primera persona en informar una vulnerabilidad específica, el equipo de seguridad de Sprout Social valida la vulnerabilidad y has cumplido con todos los términos, normas y restricciones incluidas. La disponibilidad de cualquier recompensa o compensación queda a criterio exclusivo de Sprout Social y se distribuye a través de la plataforma Bugcrowd. Sprout Social no da ninguna garantía, expresa o implícita, de que se ofrezca una recompensa o compensación. Para obtener más información, visita nuestra página de Bugcrowd en: https://bugcrowd.com/sproutsocial