Política de Divulgación Responsable

La seguridad es nuestra prioridad en Donorbox y estamos comprometidos a garantizar la seguridad y privacidad de nuestros usuarios. Esta política tiene como objetivo brindar pautas claras sobre cómo informar de manera responsable las vulnerabilidades de seguridad a Donorbox.

Esta política de divulgación responsable establece qué dominios y tipos de vulnerabilidades o hallazgos e investigaciones están cubiertos por esta política, cómo enviarnos hallazgos de vulnerabilidades y qué esperar de nuestra parte.

Lo invitamos a que se comunique con nosotros para informar posibles vulnerabilidades en Donorbox.

Si actúa de buena fe para cumplir con esta política después de descubrir una vulnerabilidad, nos gustaría saberlo para que podamos tomar las medidas necesarias para solucionarlo lo más pronto posible.

Si descubre una vulnerabilidad relacionada con Donorbox y desea compartirla con nosotros, le pedimos, conforme a la divulgación responsable, que nos envíe un correo electrónico demostrando la vulnerabilidad siguiendo esta política.

Donorbox se reserva todos los derechos legales y puede iniciar una demanda legal en caso de incumplimiento de esta política.

Donorbox actualizará y revisará esta política a futuro y se reserva todos los derechos para modificarla o cancelarla en cualquier momento.

  1. Cómo reportar una vulnerabilidad

    1. Para divulgar una posible vulnerabilidad de seguridad, envíela por correo electrónico a nuestro equipo de seguridad:
    2. security@donorbox.org (Encripte sus hallazgos con nuestra clave PGP para evitar que esta valiosa información caiga en manos equivocadas)
    3. Cuando reporte una vulnerabilidad de seguridad, hágalo de manera responsable y proporcione:
    1. Resumen de la vulnerabilidad
    2. Prueba de concepto
    3. Herramientas, comandos o scripts utilizados.
  2. Que esperar

    1. Gestionaremos su correo electrónico con estricta confidencialidad.
    2. Agregaremos tu nombre a nuestro "Paseo de la fama" si la vulnerabilidad que reportas no la conocemos actualmente.
  3. Alcance

    1. donorbox.org
  4. Objetivos fuera de alcance

    1. Cualquier otro dominio o subdominio que no sea donorbox.org
    2. Donorbox.com
    3. partners.donorbox.com
    4. community.donorbox.com
  5. Vulnerabilidades típicas aceptadas

    1. OWASP Top 10 categorías de vulnerabilidad
    2. Otras vulnerabilidades con impacto demostrado
    3. Inyección SQL
    4. Ataques (XSS) Cross-Site Scripting
    5. Ataques Cross-Site Request Forgery (CSRF)
    6. Problemas relacionados con autenticación
    7. Problemas relacionados con autorización
    8. Ataques de redirección
    9. Ejecución remota de código
    10. Exposición de datos
  6. Lineamientos

    1. Póngase en contacto con nosotros inmediatamente después de haber descubierto una vulnerabilidad de seguridad.
    2. Solo use exploits en la medida necesaria para confirmar la existencia de una vulnerabilidad.
    3. Danos un período de tiempo razonable para resolver el problema y nunca lo divulgues públicamente.
    4. Una vez que haya verificado que existe una vulnerabilidad o encontrado datos confidenciales, debe detener su actividad y no seguir adelante ni divulgar el hallazgo a ningún tercero.
    5. Al investigar vulnerabilidades, actúa de buena fe y respeta la privacidad de los datos de otros usuarios, así como la disponibilidad del servicio de Donorbox. Mucha gente utiliza Donorbox a diario, y es perjudicial (e ilegal) interrumpir su uso.
    6. Nunca solicite una compensación o recompensa por encontrar vulnerabilidades de seguridad y reportárnoslas.
    7. Utilice sus cuentas en el proceso de encontrar el error.
    8. Si tiene dudas, contáctenos
  7. Acciones Prohibidas

    1. Borrar, manipular datos; comprometer los servicios de Donorbox e involucrarse con terceros para compartir nuestros datos confidenciales.
    2. Violar la política de privacidad de los usuarios de Donorbox.
    3. Involucrarse en algún tipo de ingeniería social, spam y pruebas físicas.
    4. Involucrarse en el phishing
    5. Realizar investigaciones intrusivas, como ataques DoS, y realizar alguna otra acción que pueda poner en riesgo la seguridad, credibilidad o disponibilidad de los datos y sistemas.
    6. Revelar públicamente o compartir su hallazgo de vulnerabilidad con alguien más.
    7. Pruebas de servicios de terceros
    8. Subir algo relacionado con la vulnerabilidad a terceros. Por ejemplo, Youtube, etc.
    9. Utilizar una vulnerabilidad para comprometer o filtrar archivos, obtener acceso permanente o persistente a la línea de comandos, o para pasar a otras aplicaciones, sistemas o programas.
    10. Acceder, destruir y/o afectar negativamente los datos de Donorbox o de sus clientes de alguna manera.
    11. Infringir alguna ley o acuerdo ya hecho.
    12. Utilizar herramientas o escáneres automatizados para buscar vulnerabilidades en Donorbox.
    13. Aprovecharse de la falla descubierta.
    14. La destrucción o manipulación de datos.
    15. Involucrarse en algún tipo de infracciones y violaciones de privacidad.
    16. Participar en la degradación y la interrupción de la experiencia de nuestros usuarios y servicios.
  8. Reportes fuera de alcance

    1. Vulnerabilidades teóricas
    2. Divulgación informativa de datos no sensibles
    3. Enumeración de nombres de usuario de WordPress
    4. Inyección CSV
    5. Información PHP
    6. Información relacionada con el estado del servidor, etc.
    7. Autocompletado de aplicaciones/navegadores por parte del cliente o contraseñas/credenciales guardadas.
    8. Páginas de error, etc.
    9. Enumeración de directorios, archivos, o activos, etc.
    10. Hallazgos relacionados con la seguridad de contraseñas, etc.
    11. Login/Logout/Unauthenticated/Low-impact CSRF
    12. Indicadores de cookies faltantes
    13. Autoexplotación
    14. Errores válidos o problemas de mejores prácticas que no están directamente relacionados con la postura de seguridad de Donorbox
    15. Hallazgos similares a Self-XSS que no podrían ser utilizados para atacar a otros usuarios u organizaciones.
    16. Cualquier reporte que implique ingeniería social.
    17. DDOS o DoS.
    18. Problemas de SSL (por ejemplo, configuración o versión incorrecta)
    19. Registros SPF, DKIM o DMARC mal configurados,
    20. Cualquier otro servicio o biblioteca no alojado o controlado directamente por Donorbox (por ej, material de terceros).
  9. Descargo de responsabilidad

    1. Donorbox se reserva el derecho de tomar decisiones finales
    2. Una vez que nos envía un error o encuentra una vulnerabilidad, acepta las condiciones mencionadas anteriormente.
  10. Paseo de la Fama

    1. Donorbox desea expresar su agradecimiento a las siguientes personas o empresas por informarnos de manera responsable las fallas de seguridad: