Informe de recompensa por errores

Bentley se compromete a mantener los datos de nuestros usuarios seguros y protegidos, así como a ser transparente sobre la forma en que lo hacemos. Nuestros sólidos estándares y certificaciones de privacidad y protección de datos, seguridad y cumplimiento son prueba de ello.

Directrices del Programa de Divulgación Responsable de Bentley Systems

At Bentley Systems, we take the security of our systems and products seriously, and we value the security community. The disclosure of security vulnerabilities helps us ensure the security and privacy of our users.

1. Pautas Genéricas

Bentley Systems exige que todos los investigadores

Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
Limiten las investigaciones al alcance que se indica más abajo.
Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.

Si se cumplen estas pautas al comunicarnos un problema, nosotros nos comprometemos a

Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
Colaborar con usted en la comprensión y solución del problema con celeridad.

2. Código de Conducta y Responsabilidades Legales

En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación

Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
Es legal, útil para la seguridad general de Internet y se realiza de buena fe.

Se espera que usted en su calidad de investigador, como siempre, cumpla con todas las leyes aplicables. Si en algún momento, usted tiene alguna inquietud o duda respecto de si su investigación de seguridad acata esta política, deberá presentar un informe a través de uno de nuestros canales de comunicación definidos más abajo antes de tomar cualquier otra medida.

3. Alcance/Fuera del Alcance

Alcance	Fuera del Alcance
Todos los subdominios _.bentley.com Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores) Todas las aplicaciones móviles de Bentley Systems Todas las aplicaciones y servicios en la nube de Bentley All Bentley Open-Source Projects (including imodeljs.org)	Infraestructura de Bentley Systems (VPN, Servidor de Correo, SharePoint, Skype, etc.) Hallazgos de las pruebas físicas, como acceso a oficinas (p. ej., puertas abiertas, infiltraciones) Hallazgos derivados principalmente de la ingeniería social (p. ej., phishing, vishing) Hallazgos de aplicaciones o sistemas no enumerados en la sección “Alcance” Servicios alojados por terceros proveedores y servicios Obsolete/deprecated software https://seequent.frontify.com/ https://engage.seequent.com https://events.seequent.com/ https://community.seequent.com/ https://lms.seequentlearning.com/ https://partners.seequent.com/ https://www.plaxis.ru

Alcance

Fuera del Alcance

Todos los subdominios _.bentley.com
Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores)
Todas las aplicaciones móviles de Bentley Systems
Todas las aplicaciones y servicios en la nube de Bentley
All Bentley Open-Source Projects (including imodeljs.org)

Infraestructura de Bentley Systems (VPN, Servidor de Correo, SharePoint, Skype, etc.)
Hallazgos de las pruebas físicas, como acceso a oficinas (p. ej., puertas abiertas, infiltraciones)
Hallazgos derivados principalmente de la ingeniería social (p. ej., phishing, vishing)
Hallazgos de aplicaciones o sistemas no enumerados en la sección “Alcance”
Servicios alojados por terceros proveedores y servicios
Obsolete/deprecated software
https://seequent.frontify.com/
https://engage.seequent.com
https://events.seequent.com/
https://community.seequent.com/
https://lms.seequentlearning.com/
https://partners.seequent.com/
https://www.plaxis.ru

4. Vulnerabilidades elegibles/Exclusiones

Vulnerabilidades elegibles	Exclusiones
Ejecución remota de código Adquisición de DLL Inyección de SQL Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) Identificación y Autenticación Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés) Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) Directorio Traversal Exposición de datos sensibles Configuración errónea de la sesión Broken Access control (Privilege Escalation) Configuración errónea de seguridad Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés) Redireccionamiento abierto Adquisición de subdominio* Problemas de lógica empresarial Hyperlink injection (if obfuscation is possible) Problemas de Word-press	DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request) Errores publicados en el software de Internet dentro de los 15 días de su divulgación Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario) Relacionado con X-Frame-Options (clickjacking) Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario) Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad. Exposición de versiones (a menos que entregue un PoC de explotación de trabajo). Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.) Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided) El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS Faltan indicadores de cookies en las cookies no sensibles Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC) Anything from an automated scan Anything that is public by default (e.g. public keys, config files without sensitive information, etc.) Anything not under Bentley Systems control (e.g. Google Analytics, etc.) Cuestiones teóricas que carecen de gravedad en la práctica Errores de interfaz de usuario y UX y errores ortográficos Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc. CAA certificate missing User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed Google Maps API key exposure Origin IP exposure Misconfigurations on non-resolving URLs

Vulnerabilidades elegibles

Exclusiones

Ejecución remota de código
Adquisición de DLL
Inyección de SQL
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)
Identificación y Autenticación
Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés)
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)
Directorio Traversal
Exposición de datos sensibles
Configuración errónea de la sesión
Broken Access control (Privilege Escalation)
Configuración errónea de seguridad
Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés)
Redireccionamiento abierto
Adquisición de subdominio*
Problemas de lógica empresarial
Hyperlink injection (if obfuscation is possible)
Problemas de Word-press

DoS, and application-level DoS (unless the response is asymmetrical compared to the initial request)
Errores publicados en el software de Internet dentro de los 15 días de su divulgación
Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario)
Relacionado con X-Frame-Options (clickjacking)
Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario)
Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad.
Exposición de versiones (a menos que entregue un PoC de explotación de trabajo).
Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.)
Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM
Rate limit vulnerability not on a login functionality (unless a valid exploit PoC provided)
El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS
Faltan indicadores de cookies en las cookies no sensibles
Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC)
Anything from an automated scan
Anything that is public by default (e.g. public keys, config files without sensitive information, etc.)
Anything not under Bentley Systems control (e.g. Google Analytics, etc.)
Cuestiones teóricas que carecen de gravedad en la práctica
Errores de interfaz de usuario y UX y errores ortográficos
Credentials found at breach forums like [https://breachforums.st, https://phonebook.cz] etc.
CAA certificate missing
User enumeration in WP, when only a few Bentley employees, who posted on the website, are exposed
Google Maps API key exposure
Origin IP exposure
Misconfigurations on non-resolving URLs

5. Cómo realizar el informe

Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.

A good practice is to think whether the discovered vulnerability puts at risk:

Bentley Systems clients’ information.
Bentley Systems software.
Bentley Systems reputation.

Asegúrese de haber incluido la siguiente información:

Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
Information necessary to reproduce the issue.
Proof of concept including practical severity and attack scenario, indication of a potential risk only is hard to evaluate and usually such report is not approved.
If applicable, a screenshot and/or video of the vulnerability.
Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
IMPORTANT NOTE. You may only make the initial submission through the form. If you have any questions not mentioned in a form, please e-mail us at [email protected].

6. Reglas de Compromiso

Se prohíbe estrictamente el DoS.
Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
- Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
- Detener las pruebas y
- Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
  protegida.
Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).

7. Divulgación Pública

A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.

8. Duplicados

Only the first researcher to report an issue will be entitled for a reward.
The reports of the same issue in different environments are not rewarded and closed as duplicates. (e.g. dev-*-bentley.com, qa- dev-*-bentley.com, prod- dev-*-bentley.com)
The reports of the same issue in different deployment regions are not rewarded and closed as duplicates. (e.g. *.us.bentley.com, *.eus-bentley.com, *.in.-*-bentley.com)
Multiple instances of the same issue will only be compensated to a max of 3x the reward sum. (e.g. expires SSL certificate on 25 domain and subdomains will count 3×100 USD, and not 25×100 USD)

9. Triaje de Vulnerabilidades

Una vez recibida la presentación:

Se analizará la vulnerabilidad informada.
You will be informed if the issue is closed without a reward. We do not send a detailed explanation of the resolution.
If we determine the submission is valid and meets the requirements of this policy, you may receive a reward after the fix is implemented. Our commitment is to reward your efforts within 90 days.

10. Contraprestación

The compensation for a security report submitted by a third-party researcher is determined based on the level of risk posed by the identified vulnerability. This means that the reward can vary significantly [or be denied], depending on the potential impact and severity of the issue. While there may be a general range of compensation provided for reference, it is important to understand that each case is evaluated individually.

Ejemplos de vulnerabilidad	Intervalo de precios (USD)**
Control de acceso Brocken (Escalada de privilegios)	250-450
Problemas de lógica empresarial	100-300
Intercambio de recursos de origen cruzado (CORS)	100-200
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)	150-250
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)	100-200
Adquisición de DLL	50
Inyección de hipervínculo	50
Identificación y Autenticación	250-450
Referencia directa a objetos inseguros (IDOR)	250-450
Redireccionamiento abierto	50-150
Otro	0-500
Ejecución remota de código	600
Configuración errónea de seguridad	50-250
Exposición de datos sensibles	50-200
Secrets leak	200-500
Configuración errónea de la sesión	50-200
Inyección de SQL	250-500

NOTE. A report will not be eligible for a financial reward (even if Bentley Systems accepts and addresses it) in some situations including, but not limited to, the following:

report was submitted by current of former employee of Bentley Systems
report was submitted by the commercial entities or individuals conducting formal/commercial security testing on behalf of Bentley Systems customers.
report was submitted by the employee or subcontractors of a company that is a customer of Bentley Systems services.
report was submitted by the employee of the company that is a Bentley System’s service provider.
report was submitted by an individual residing in a country that is currently subject to international sanctions.
Bentley System’s legal department fails to associate researcher’s PayPal email address and the identity; meaning that you cannot get the reward to somebody’s else account.

**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.

**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.

Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal.

IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.

Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.

Presentar un informe

1. Pautas Genéricas

Bentley Systems exige que todos los investigadores

Eviten las violaciones de la privacidad, la degradación de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción de datos durante las pruebas de seguridad.
Limiten las investigaciones al alcance que se indica más abajo.
Usen los canales de comunicaciones definidos más abajo para comunicarnos información sobre vulnerabilidades.
Mantengan la información sobre las vulnerabilidades descubiertas confidencial, entre el investigador y Bentley Systems, hasta que se encuentre una solución.

Si se cumplen estas pautas al comunicarnos un problema, nosotros nos comprometemos a

Abstenernos de iniciar o apoyar cualquier acción legal relacionada con su investigación.
Colaborar con usted en la comprensión y solución del problema con celeridad.

2. Código de Conducta y Responsabilidades Legales

En ocasión de una investigación de vulnerabilidad según la presente política, consideramos que la investigación

Está autorizada de conformidad con la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) u otras leyes estaduales similares, y nos abstendremos de iniciar o apoyar cualquier acción legal contra usted, en su calidad de investigador, por violaciones accidentales y de buena fe a esta política.
Está exenta de la Ley de Derechos de Autor en el Milenio Digital (DMCA, por sus siglas en inglés) y nos abstendremos de presentar demandas contra usted por elusión de controles tecnológicos.
Está exenta de las restricciones impuestas por nuestros Términos y Condiciones que pudieran interferir con la realización de investigaciones de seguridad y renunciamos a tales restricciones al solo efecto del trabajo realizado en virtud de esta política.
Es legal, útil para la seguridad general de Internet y se realiza de buena fe.

3. Alcance/Fuera del Alcance

Alcance
Todos los subdominios _.bentley.com Todos los productos de escritorio de Bentley Systems (solo edición CONNECT y posteriores) Todas las aplicaciones móviles de Bentley Systems Todas las aplicaciones y servicios en la nube de Bentley Todos los proyectos de código abierto de Bentley (incluido imodeljs.org)
Fuera del Alcance
Infraestructura de Bentley Systems (VPN, Servidor de Correo, SharePoint, Skype, etc.) Hallazgos de las pruebas físicas, como acceso a oficinas (p. ej., puertas abiertas, infiltraciones) Hallazgos derivados principalmente de la ingeniería social (p. ej., phishing, vishing) Hallazgos de aplicaciones o sistemas no enumerados en la sección “Alcance” Errores de interfaz de usuario y UX y errores ortográficos Vulnerabilidades de Denegación de Servicio (DOS/DDoS) en el nivel de red Servicios alojados por terceros proveedores y servicios https://www.plaxis.ru https://communities.bentley.com Los informes a las comunidades deben ser presentados directamente a Telligent. Los informes de SYNCHRO Academy deben ser enviados directamente a Cypher Learning. https://ebook.bentley.com/ Los informes de libros electrónicos deben enviarse directamente a Impelsys. https://yii.bentley.com/en https://vshow.on24.com/vshow/bsn012108_ve_01/registration/19990 https://vshow.on24.com/vshow/bsn012108_ve_01/lobby/19990

4. Vulnerabilidades elegibles/Exclusiones

Vulnerabilidades elegibles
Control de acceso Brocken (Escalada de privilegios) Problemas de lógica empresarial Intercambio de recursos de origen cruzado (CORS, por sus siglas en inglés) Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés) Directorio Traversal Adquisición de DLL Inyección de hipervínculo Identificación y Autenticación Referencia directa a objetos inseguros (IDOR, por sus siglas en inglés) Redireccionamiento abierto Otro Ejecución remota de código Configuración errónea de seguridad Exposición de datos sensibles Configuración errónea de la sesión Inyección de SQL Adquisición de subdominio* Problemas de Word-press
Exclusiones
Errores publicados en el software de Internet dentro de los 15 días de su divulgación Técnicas de spam o ingeniería social, incluidos los problemas de SPF y DKIM Self-XSS (solicitamos pruebas sobre cómo se puede usar el XSS para atacar a otro usuario) Relacionado con X-Frame-Options (clickjacking) Vulnerabilidad de límite de velocidad (a menos que se proporcione un PoC de explotación válido) El archivo XMLRPC.php está habilitado, lo que lleva a un ataque DoS Faltan indicadores de cookies en las cookies no sensibles Faltan encabezados de seguridad que no conducen directamente a una vulnerabilidad (a menos que entregue un PoC) Inyección de encabezado (a menos que pueda demostrar cómo pueden conducir al robo de datos del usuario) Exposición de versiones (a menos que entregue un PoC de explotación de trabajo). Problemas que no son explotables pero que conducen a bloqueos, seguimiento de pila y problemas similares de fuga de información o estabilidad. Denegación de Servicio Cualquier cosa que exija exploradores, plataformas o cifrados obsoletos (es decir, TLS BEAST, POODLE, etc.) Cualquier cosa proveniente de un escaneo automatizado, todo aquello que ya sea público o todo aquello que no esté bajo el control de Bentley Systems (p. ej., Google Analytics, etc.) Cuestiones teóricas que carecen de gravedad en la práctica

*Presente el informe una vez obtenido un PoC en forma de dos capturas de pantalla con indicación de hora y fecha, y un subdominio. Estas capturas de pantalla deben demostrar que el subdominio estuvo libre por lo menos durante una hora. Las herramientas de escaneo a menudo capturan el corto período en el que se ejecutan cambios en el subdominio, hecho que puede parecer una vulnerabilidad pero en realidad no lo es: el registro DNS se elimina poco tiempo después. Al enviar las capturas de pantalla se evitará informar de falsas vulnerabilidades, con el consecuente ahorro de tiempo tanto para usted como para nuestro equipo.

Los informes con un PoC parcial (una sola prueba de marca de tiempo o ninguna) no se tendrán en cuenta como primer informe.

NB: se prohíbe la adquisición real del subdominio reportado como PoC.

5. Cómo realizar el informe

Si cree que ha descubierto una vulnerabilidad de seguridad en uno de nuestros productos o plataformas, llene el formulario que aparece en esta página.

Asegúrese de haber incluido la siguiente información:

Descripción completa de la vulnerabilidad con indicación de datos tales como URL, solicitud/respuesta HTTP completa y tipo de vulnerabilidad.
Los datos necesarios para reproducir la vulnerabilidad.
Si correspondiese, una captura de pantalla y/o video de la vulnerabilidad.
Datos de contacto, nombre, correo electrónico, número de teléfono, ubicación. No se tomarán en cuenta las presentaciones que carezcan de la información anterior.
NOTA IMPORTANTE. mediante el formulario solo se podrá hacer la presentación inicial. Si tiene alguna pregunta no contemplada en el formulario, envíenos un correo electrónico a [email protected].

6. Reglas de Compromiso

Se prohíbe estrictamente el DoS.
Se prohíbe estrictamente todo ataque de fuerza bruta a credenciales.
Se prohíbe la divulgación pública de una vulnerabilidad informada antes de su reparación.
No deberá destruir ni degradar nuestro desempeño ni violar la privacidad o integridad de nuestros usuarios y sus datos.
Se prohíbe estrictamente sacar provecho de las vulnerabilidades (distintas de las PoC genéricas) y esta conducta se procesará según las leyes aplicables.
En caso de que una vulnerabilidad permita el acceso no intencionado a los datos, usted deberá
- Limitar la cantidad de datos a los que accede al mínimo necesario para demostrar efectivamente una Prueba de Concepto y
- Detener las pruebas y
- Presentar un informe de inmediato si al realizar la prueba encuentra datos de un usuario, como por ejemplo, datos de identificación personal (PII, por sus siglas en inglés), datos de salud personales (PHI, por sus siglas en inglés), datos de tarjetas de crédito, o información
  protegida.
Bentley no responderá a actos extorsivos, cohercitivos, ni delictivos (p. ej., demandas de pago por adelantado a cambio de no sacar provecho de una vulnerabilidad encontrada).

7. Divulgación Pública

A menos que nuestro equipo haya informado que la vulnerabilidad fue resuelta, no haga pública la información de la vulnerabilidad por 90 días. De lo contrario, será pasible de acciones legales.

8. Duplicados

Esta política solo tendrá en cuenta al primer investigador que informa sobre un problema o problemas similares. Esto incluye informes del mismo problema en entornos diferentes (p. ej., dev-, qa-, prod-)

9. Triaje de Vulnerabilidades

Una vez recibida la presentación:

Se analizará la vulnerabilidad informada.
En caso de determinar que la presentación es válida y que cumple con los requisitos de esta política, es posible que reciba una contraprestación.
Se le informará cuando el incidente se haya resuelto.

10. Contraprestación

Ejemplos de vulnerabilidad	Intervalo de precios (USD)**
Control de acceso Brocken (Escalada de privilegios)	200-400
Problemas de lógica empresarial	100-300
Intercambio de recursos de origen cruzado (CORS)	100-200
Falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés)	100-200
Secuencia de comandos en sitios cruzados (XSS, por sus siglas en inglés)	50-150
Directorio Traversal	100-200
Adquisición de DLL	100-200
Inyección de hipervínculo	50
Identificación y Autenticación	200-400
Referencia directa a objetos inseguros (IDOR)	200-400
Redireccionamiento abierto	50-150
Otro	0-500
Ejecución remota de código	500
Configuración errónea de seguridad	50-200
Exposición de datos sensibles	50-500
Configuración errónea de la sesión	50-150
Inyección de SQL	200-400

**Tenga en cuenta que la contraprestación por varias instancias de un mismo problema tendrá un máximo de 3x el precio.

**Los informes sobre problemas en distintos entornos del producto (dev-, qa-, prod-) se contabilizarán como uno.

Nos reservamos el derecho a modificar esta política en cualquier momento y por cualquier motivo y no ofrecemos garantía alguna de que se dará una contraprestación por todos los informes. Las contraprestaciones se pagan solo a través de PayPal.

IMPORTANTE. Asegúrese de enviar únicamente una dirección de PayPal válida; para el pago no se tendrán en cuenta direcciones distintas de la original. Si la transacción no se concreta por algún motivo (es decir, PayPal rechaza la operación, el banco receptor no puede aceptar el pago, se alcanzó el monto máximo, la aceptación de los pagos solo se realiza por una página web u otras instrucciones, etc.), el pago será cancelado y no se volverá a presentar.

Bentley Systems se reserva el derecho a retirar el Programa de Divulgación Responsable y su sistema de contraprestaciones en cualquier momento sin previo aviso.

MI CUENTA

SOFTWARE POR CATEGORÍA

SOFTWARE POR CATEGORÍA

Software destacado

INDUSTRIAS DESTACADAS

SOLUCIONES DESTACADAS

SOLUCIONES PARA

INDUSTRIAS DESTACADAS

SOLUCIONES DESTACADAS

SOLUCIONES PARA

Gemelos digitales de infraestructura

SOFTWARE iTwin

Gemelos digitales de infraestructura

SOFTWARE iTwin

SOPORTE

SUSCRIPCIONES

SUSCRIPCIONES

LA EMPRESA DE SOFTWARE DE INGENIERÍA DE INFRAESTRUCTURA

INVERSIONES Y NEGOCIOS

INVERSIONES Y NEGOCIOS

SOFTWARE POR CATEGORÍA

SOFTWARE POR CATEGORÍA

Software destacado

INDUSTRIAS DESTACADAS

SOLUCIONES DESTACADAS

SOLUCIONES PARA

INDUSTRIAS DESTACADAS

SOLUCIONES DESTACADAS

SOLUCIONES PARA

Gemelos digitales de infraestructura

SOFTWARE iTwin

Gemelos digitales de infraestructura

SOFTWARE iTwin

SOPORTE

SUSCRIPCIONES

SUSCRIPCIONES

LA EMPRESA DE SOFTWARE DE INGENIERÍA DE INFRAESTRUCTURA

INVERSIONES Y NEGOCIOS

INVERSIONES Y NEGOCIOS

Informe de recompensa por errores

Bentley se compromete a mantener los datos de nuestros usuarios seguros y protegidos, así como a ser transparente sobre la forma en que lo hacemos. Nuestros sólidos estándares y certificaciones de privacidad y protección de datos, seguridad y cumplimiento son prueba de ello.

Directrices del Programa de Divulgación Responsable de Bentley Systems

1. Pautas Genéricas

2. Código de Conducta y Responsabilidades Legales

3. Alcance/Fuera del Alcance

4. Vulnerabilidades elegibles/Exclusiones

5. Cómo realizar el informe

6. Reglas de Compromiso

7. Divulgación Pública

8. Duplicados

9. Triaje de Vulnerabilidades

10. Contraprestación

Presentar un informe

TABLA DE CONTENIDO

¿Necesita ayuda?

Chat en vivo

Opciones de accesibilidad

Volver arriba

Explorar

Historias y noticias

Soporte

Legal

Construya con nosotros

EMPRESAS Y SOCIOS

Empresa

© 2025 Bentley Systems, incorporated

20 % de descuento en software de Bentley

La oferta termina el viernes

Use el código de cupón "THANKS24"