Última actualización: 5 de septiembre de 2019
Kraken Security Labs lleva a cabo investigaciones rutinarias sobre la seguridad de las aplicaciones, el hardware y los productos de uso común. La investigación se realiza para enseñar y proteger a los usuarios finales de tales servicios y productos. Esta política describe cómo Kraken Security Labs gestiona la divulgación responsable de vulnerabilidades cuando detectamos vulnerabilidades de seguridad en productos y servicios de terceros.
Kraken Security Labs notificará al proveedor correspondiente un defecto de seguridad en sus productos o servicios. El primer intento de contacto será a través de los contactos apropiados o mecanismos formales que se incluyen en el sitio web del proveedor. Si no se publica dicha información de contacto, Kraken Security Labs hará todo lo posible por encontrar un medio de contacto adecuado. Una vez encontrado un mecanismo de contacto formal o apropiado, la información pertinente sobre la vulnerabilidad se transmitirá de forma segura al proveedor.
Si el proveedor no confirma la notificación inicial en un plazo de cinco (5) días hábiles, Kraken Security Labs iniciará un segundo contacto con el proveedor. Si Kraken Security Labs agota todos los medios anteriores para ponerse en contacto con el proveedor, Kraken Security Labs puede emitir un aviso público en el que se revelen sus conclusiones quince (15) días hábiles después del intento de contacto inicial.
Si se recibe una respuesta de un proveedor en el plazo indicado anteriormente, Kraken Security Labs solicita que el proveedor especifique el plazo deseado para la corrección. Kraken Security Labs permitirá al proveedor hasta noventa (90) días naturales para abordar la vulnerabilidad con un parche. Al final de la fecha límite o antes (si el proveedor lo notifica), si se ha aplicado un parche a la vulnerabilidad, o bien, si el proveedor no responde o no puede proporcionar una declaración razonable sobre por qué no se soluciona la vulnerabilidad, Kraken Security Labs publicará un aviso disponible públicamente con recomendaciones de mitigación en un esfuerzo por proteger a los usuarios finales.
Kraken Security Labs hará todo lo posible por colaborar con los proveedores para asegurarse de que comprenden los detalles técnicos y la gravedad de un defecto de seguridad notificado. Si un proveedor de productos no puede o decide no corregir un defecto de seguridad concreto, Kraken Security Labs puede ofrecer trabajar con ese proveedor para revelar públicamente el defecto con algunas soluciones alternativas eficaces.
En el caso de que Kraken Security considere apropiado alertar inmediatamente al público general de una vulnerabilidad debido al riesgo o la seguridad para el usuario final de un producto o servicio, Kraken Security Labs informará simultáneamente al proveedor y al público general de sus conclusiones. En comunicación con el proveedor, Kraken Security Labs enumerará los factores utilizados para decidir la publicación inmediata de sus conclusiones.