Informe de recompensa por errores
Bentley se compromete a mantener los datos de nuestros usuarios seguros y protegidos, así como a ser transparente sobre la forma en que lo hacemos. Nuestros sólidos estándares y certificaciones de privacidad y protección de datos, seguridad y cumplimiento son prueba de ello.
Directrices del Programa de Divulgación Responsable de Bentley Systems
At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.
1. Pautas Genéricas
Bentley Systems exige que todos los investigadores
- Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
- Limiten las investigaciones al alcance que se indica más abajo.
- Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
- Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
- Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
- Colaborar con usted en la comprensión y solución del problema con celeridad.
2. Código de Conducta y Responsabilidades Legales
En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación
- Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
- Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
- Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
- Es legal, útil para la seguridad general de Internet y se realiza de buena fe.
Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.
3. Alcance/Fuera del Alcance
Alcance | Fuera del Alcance |
---|---|
|
|
4. Vulnerabilidades elegibles/Exclusiones
Vulnerabilidades elegibles | Exclusiones |
---|---|
|
|
*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.
Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.
NB: se prohíbe la adquisición real del subdominio reportado como PoC.
5. Cómo realizar el informe
Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.
A good practice is to think whether the discovered vulnerability puts at risk:
- Bentley Systems clients’ information.
- Bentley Systems software.
- Bentley Systems reputation.
Asegúrese de haber incluido la siguiente información:
- Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
- Information necessary to reproduce the issue.
- Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
- If applicable, a screenshot and/or video of the vulnerability.
- Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
- IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].
6. Reglas de Compromiso
- Se prohíbe estrictamente el DoS.
- Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
- Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
- No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
- Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
- En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
- Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
- Detener las pruebas y
- Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
protegida.
- Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).
7. Divulgación Pública
A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.
8. Duplicados
- Only the first researcher to report an issue will be entitled for a reward.
- The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
- The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
- Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)
9. Triaje de Vulnerabilidades
- Se analizará la vulnerabilidad informada.
- You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
- If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.
10. Contraprestación
Ejemplos de vulnerabilidad | Intervalo de precios (USD)** |
---|---|
Control de acceso Brocken (Escalada de privilegios) | 250-450 |
Problemas de lógica empresarial | 100-300 |
Intercambio de recursos de origen cruzado (CORS) | 100-200 |
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) | 150-250 |
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) | 100-200 |
Adquisición de DLL | 50 |
Inyección de hipervínculo | 50 |
Identificación y Autenticación | 250-450 |
Referencia directa a objetos inseguros (IDOR) | 250-450 |
Redireccionamiento abierto | 50-150 |
Otro | 0-500 |
Ejecución remota de código | 600 |
Configuración errónea de seguridad | 50-250 |
Exposición de datos sensibles | 50-200 |
Secrets leak | 200-500 |
Configuración errónea de la sesión | 50-200 |
Inyección de SQL | 250-500 |
NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:
- report was submitted by current of former employee of Bentley Systems
- report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
- report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
- report was submitted by the employee of the company that is a Bentley System’s service provider.
- report was submitted by an individual residing in a country that is currently subject to international sanctions.
- Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.
**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.
**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.
Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal.
IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.
Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.
Presentar un informe
TABLA DE CONTENIDO
Bentley Systems exige que todos los investigadores
- Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
- Limiten las investigaciones al alcance que se indica más abajo.
- Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
- Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
- Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
- Colaborar con usted en la comprensión y solución del problema con celeridad.
En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación
- Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
- Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
- Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
- Es legal, útil para la seguridad general de Internet y se realiza de buena fe.
Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.
Alcance |
---|
|
Fuera del Alcance |
|
Vulnerabilidades elegibles |
---|
|
Exclusiones |
|
Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.
Asegúrese de haber incluido la siguiente información:
- Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
- Los datos necesarios para reproducir la vulnerabilidad.
- Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
- Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
- NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].
- Se prohíbe estrictamente el DoS.
- Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
- Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
- No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
- Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
- En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
- Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
- Detener las pruebas y
- Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
protegida.
- Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).
A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.
Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)
Una vez recibida la presentación:
- Se analizará la vulnerabilidad informada.
- En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
- Se le informará cuando el incidente se haya resuelto.
Ejemplos de vulnerabilidad | Intervalo de precios (USD)** |
---|---|
Control de acceso Brocken (Escalada de privilegios) | 200-400 |
Problemas de lógica empresarial | 100-300 |
Intercambio de recursos de origen cruzado (CORS) | 100-200 |
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) | 100-200 |
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) | 50-150 |
Directorio Traversal | 100-200 |
Adquisición de DLL | 100-200 |
Inyección de hipervínculo | 50 |
Identificación y Autenticación | 200-400 |
Referencia directa a objetos inseguros (IDOR) | 200-400 |
Redireccionamiento abierto | 50-150 |
Otro | 0-500 |
Ejecución remota de código | 500 |
Configuración errónea de seguridad | 50-200 |
Exposición de datos sensibles | 50-500 |
Configuración errónea de la sesión | 50-150 |
Inyección de SQL | 200-400 |