Kraken

Política de divulgación de vulnerabilidades

Última actualización: 5 de septiembre de 2019

Kraken Security Labs de Kraken conduce rutinariamente investigaciones sobre la seguridad de aplicaciones, hardware y productos de uso común. La investigación se realiza para instruir y proteger a los usuarios finales de dichos servicios y productos. Esta política describe cómo Kraken Security Labs maneja la divulgación responsable de vulnerabilidades cuando descubrimos la existencia de vulnerabilidades de seguridad en productos y servicios de terceros.

Kraken Security Labs notificará al proveedor apropiado de un defecto de seguridad dentro de su(s) producto(s) y/o servicio(s). El primer intento de contacto será a través de cualquier contacto apropiado o mecanismo formal listado en el sitio web del proveedor. Si dicha información de contacto no se publica, Kraken Security Labs hará todo lo posible para localizar un medio de contacto apropiado. Una vez que se ha encontrado un mecanismo de contacto formal o apropiado, la información pertinente sobre la vulnerabilidad se transmitirá de forma segura al proveedor.

Si el vendedor no acusa recibo de la notificación inicial en un plazo de cinco (5) días hábiles, Kraken Security Labs iniciará un segundo contacto con el vendedor. Si Kraken Security Labs agota todos los medios anteriores para contactar al proveedor, entonces Kraken Security Labs puede emitir un aviso público revelando sus hallazgos quince (15) días hábiles después del intento de contacto inicial.

Si se recibe una respuesta del proveedor dentro del plazo de tiempo indicado anteriormente, Kraken Security Labs solicita que el proveedor especifique el plazo de tiempo deseado para la reparación. Kraken Security Labs le permitirá al proveedor hasta noventa (90) días naturales para tratar la vulnerabilidad con un parche. Al final de la fecha límite o antes (si ha sido notificado por el proveedor), si la vulnerabilidad ha sido reparada, o si el proveedor no responde o no puede proporcionar una declaración razonable de por qué la vulnerabilidad no está reparada, Kraken Security Labs publicará un aviso disponible al público incluyendo recomendaciones de mitigación en un esfuerzo por proteger a los usuarios finales.

Kraken Security Labs hará todo lo posible para trabajar con los proveedores para asegurarse de que entienden los detalles técnicos y la gravedad de un fallo de seguridad reportado. Si un proveedor de productos no puede, o decide no reparar un defecto de seguridad en particular, Kraken Security Labs puede ofrecerse a trabajar con ese proveedor para revelar públicamente el defecto con algunas soluciones efectivas.

En el caso de que Kraken Security considere apropiado alertar inmediatamente al público en general de una vulnerabilidad debido al riesgo o seguridad para el usuario final de un producto o servicio, entonces Kraken Security Labs deberá informar simultáneamente al vendedor y al público en general de sus hallazgos. En la comunicación con el proveedor, Kraken Security Labs enumerará los factores utilizados para decidir la publicación inmediata de sus hallazgos.