Política de Foxit sobre divulgación de vulnerabilidades
Foxit se toma la seguridad muy en serio y tiene como objetivo proporcionar las soluciones y servicios más seguros de la industria para mantener seguros los datos y sistemas de los clientes. En Foxit, investigamos todos los informes de vulnerabilidad recibidos e implementamos el mejor curso de acción para proteger a nuestros clientes. Foxit cree que trabajar con investigadores de seguridad capacitados puede identificar debilidades en cualquier tecnología.
Información de contacto
Si cree que ha encontrado una vulnerabilidad de seguridad en un Foxit producto o servicio, contáctenos:
- Correo electrónico: [email protected]
Fomentamos la comunicación cifrada para informes confidenciales.
Alcance
Aceptamos informes de vulnerabilidad para:
- Todos los productos y servicios desarrollados por Foxit actualmente soportados y distribuidos.
- Servicios web y plataformas operados por Foxit (por ejemplo, foxit.com).
No aceptamos informes de vulnerabilidad para:
- Software o complementos de terceros no desarrollados por Foxit.
- Vulnerabilidades en servicios o bibliotecas de terceros utilizados de forma independiente por otros.
- Los productos al final de su vida útil ya no son compatibles.
Foxit, como CVE Numbering Authority (CNA), puede asignar CVE IDs para vulnerabilidades que afecten a productos y servicios dentro de este ámbito. Si se descubre una vulnerabilidad en un componente de terceros integrado en un Foxit producto, Foxit se coordinará con el proveedor inicial para un manejo y remediación responsable, pero no controla su CVE asignación o momento de divulgación.
Qué incluir en un informe
Para ayudarnos a manejar los informes de manera eficiente, incluya:
- El Foxit producto(s) o servicio(s) afectado(s).
- Descripción del problema de seguridad sospechado y su impacto.
- Prueba de concepto (PoC) o evidencia de respaldo, si está disponible.
- Cualquier cronograma de divulgación planificado, si corresponde.
Respuesta Proceso
Al recibir un informe de vulnerabilidad, haremos lo siguiente:
- Acuse de recibo dentro de los 5 días hábiles.
- Validar y evaluar el impacto de la vulnerabilidad.
- Mantener informado al reportero sobre el progreso y los planes de mitigación.
Divulgación Línea de tiempo
Seguimos el principio de divulgación coordinada de vulnerabilidades:
- Las vulnerabilidades Foxit confirmadas se divulgarán públicamente solo después de que la solución correspondiente se haya entregado a los clientes.
- Se mantiene un seguimiento interno de todas las vulnerabilidades confirmadas para gestionar la remediación de manera eficiente.
- Cuando corresponda, también podemos compartir información sobre vulnerabilidades confirmadas con las comunidades de gestión de vulnerabilidades relevantes para garantizar que el problema se registre y comunique adecuadamente.
- Para las vulnerabilidades identificadas en el software de terceros utilizado en los productos Foxit, notificaremos al proveedor afectado y apoyaremos la solución coordinada, pero no controlamos el momento de sus divulgaciones.
Reconocimiento y atribución
Si lo deseas, reconoceremos tu contribución en nuestros avisos de seguridad. Alternativamente, respetamos las solicitudes de anonimato.
Podemos ofrecer crédito en nuestro sitio web, dependiendo de la naturaleza de la vulnerabilidad.
Nota: El reconocimiento se refiere a reconocer su contribución y la atribución se refiere a nombrar públicamente al investigador.
Puerto seguro
Foxit no emprenderá acciones legales contra personas que:
- Realizar investigaciones de seguridad de buena fe.
- Seguir los principios de divulgación responsable.
- Evite el acceso no autorizado a los datos, la interrupción del servicio o las violaciones de la privacidad.
Pautas de divulgación responsable
Para ayudarnos a abordar las vulnerabilidades de manera eficaz y responsable, solicitamos amablemente a los investigadores que:
- Permita a Foxit una cantidad de tiempo razonable para investigar y solucionar el problema informado antes de compartirlo públicamente o con un tercero. Nos esforzamos por resolver los problemas críticos lo más rápido posible.
- Tenga cuidado de evitar acciones que puedan violar la privacidad, dañar datos o interrumpir/degradar los servicios de Foxit.
Actividades prohibidas
Las siguientes acciones están estrictamente prohibidas durante la investigación de seguridad:
- Realizar actividades que puedan afectar negativamente a Foxit o a sus usuarios (por ejemplo, spam, fuerza bruta, denegación de servicio).
- Acceder o intentar acceder, destruir o corromper, intentar destruir o corromper datos o información que no le pertenecen.
- Realizar cualquier ataque físico o electrónico a Foxit personal, propiedad o centros de datos.
- Participar en ingeniería social contra cualquier Foxit mesa de servicio, empleado o contratista.
- Violar cualquier ley o incumplir cualquier acuerdo para descubrir vulnerabilidades.
Publicación
Las vulnerabilidades confirmadas y remediadas se publicarán en:
- Nuestra página de avisos de seguridad: https://www.foxit.com/es/support/security-bulletins.html.
- El CVE List y plataformas relevantes de gestión de vulnerabilidades de la industria cuando se asigna una identificación CVE.
Nota: Ciertos problemas, como configuraciones incorrectas del sitio o hallazgos identificados únicamente mediante herramientas de escaneo automatizadas, pueden abordarse internamente pero no se publicarán como avisos separados.