Informe de recompensa por errores
Bentley se compromete a mantener los datos de nuestros usuarios seguros y protegidos, así como a ser transparente sobre la forma en que lo hacemos. Nuestros sólidos estándares y certificaciones de privacidad y protección de datos, seguridad y cumplimiento son prueba de ello.
Directrices del Programa de Divulgación Responsable de Bentley Systems
En Bentley Sistemas, tomamos muy the Seguridad de nuestros los sistemas y Productos seriamente y y valoramos the Seguridad de la comunidad. Las funciones de divulgación de Seguridad vulnerabilidades nos ayuda nosotros a garantizar la seguridad y privacidad de los usuarios.
1. Pautas Genéricas
Bentley Systems exige que todos los investigadores
- Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
- Limiten las investigaciones al alcance que se indica más abajo.
- Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
- Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
- Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
- Colaborar con usted en la comprensión y solución del problema con celeridad.
2. Código de Conducta y Responsabilidades Legales
En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación
- Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
- Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
- Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
- Es legal, útil para la seguridad general de Internet y se realiza de buena fe.
Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.
3. Alcance/Fuera del Alcance
Alcance | Fuera del Alcance |
---|---|
|
|
4. Vulnerabilidades elegibles/Exclusiones
Vulnerabilidades elegibles | Exclusiones |
---|---|
|
|
*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.
Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.
NB: se prohíbe la adquisición real del subdominio reportado como PoC.5. Cómo realizar el informe
Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.
Asegúrese de haber incluido la siguiente información:
- Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
- Los datos necesarios para reproducir la vulnerabilidad.
- Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
- Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
- NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].
6. Reglas de Compromiso
- Se prohíbe estrictamente el DoS.
- Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
- Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
- No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
- Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
- En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
- Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
- Detener las pruebas y
- Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
protegida.
- Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).
7. Divulgación Pública
A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.
8. Duplicados
Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)
9. Triaje de Vulnerabilidades
Una vez recibida la presentación:
- Se analizará la vulnerabilidad informada.
- En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
- Se le informará cuando el incidente se haya resuelto.
10. Contraprestación
Ejemplos de vulnerabilidad | Intervalo de precios (USD)** |
---|---|
Control de acceso Brocken (Escalada de privilegios) | 200-400 |
Problemas de lógica empresarial | 100-300 |
Intercambio de recursos de origen cruzado (CORS) | 100-200 |
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) | 100-200 |
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) | 50-150 |
Directorio Traversal | 100-200 |
Adquisición de DLL | 100-200 |
Inyección de hipervínculo | 50 |
Identificación y Autenticación | 200-400 |
Referencia directa a objetos inseguros (IDOR) | 200-400 |
Redireccionamiento abierto | 50-150 |
Otro | 0-500 |
Ejecución remota de código | 500 |
Configuración errónea de seguridad | 50-200 |
Exposición de datos sensibles | 50-500 |
Configuración errónea de la sesión | 50-150 |
Inyección de SQL | 200-400 |
**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.
**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.
Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal.
IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.
Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.Presentar un informe
TABLA DE CONTENIDO
Bentley Systems exige que todos los investigadores
- Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
- Limiten las investigaciones al alcance que se indica más abajo.
- Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
- Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.
- Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
- Colaborar con usted en la comprensión y solución del problema con celeridad.
En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación
- Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
- Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
- Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
- Es legal, útil para la seguridad general de Internet y se realiza de buena fe.
Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.
Alcance |
---|
|
Fuera del Alcance |
|
Vulnerabilidades elegibles |
---|
|
Exclusiones |
|
*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.
Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.
NB: se prohíbe la adquisición real del subdominio reportado como PoC.
Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.
Asegúrese de haber incluido la siguiente información:
- Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
- Los datos necesarios para reproducir la vulnerabilidad.
- Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
- Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
- NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].
- Se prohíbe estrictamente el DoS.
- Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
- Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
- No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
- Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
- En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
- Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
- Detener las pruebas y
- Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
protegida.
- Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).
A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.
Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)
Una vez recibida la presentación:
- Se analizará la vulnerabilidad informada.
- En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
- Se le informará cuando el incidente se haya resuelto.
Ejemplos de vulnerabilidad | Intervalo de precios (USD)** |
---|---|
Control de acceso Brocken (Escalada de privilegios) | 200-400 |
Problemas de lógica empresarial | 100-300 |
Intercambio de recursos de origen cruzado (CORS) | 100-200 |
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) | 100-200 |
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) | 50-150 |
Directorio Traversal | 100-200 |
Adquisición de DLL | 100-200 |
Inyección de hipervínculo | 50 |
Identificación y Autenticación | 200-400 |
Referencia directa a objetos inseguros (IDOR) | 200-400 |
Redireccionamiento abierto | 50-150 |
Otro | 0-500 |
Ejecución remota de código | 500 |
Configuración errónea de seguridad | 50-200 |
Exposición de datos sensibles | 50-500 |
Configuración errónea de la sesión | 50-150 |
Inyección de SQL | 200-400 |
**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.
Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal.
IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.
Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.