Política de divulgación de vulnerabilidades

Divulgación de vulnerabilidades

SharkNinja y sus filiales («SharkNinja») se comprometen a proteger la confidencialidad de la información personal de los consumidores y empleados, la disponibilidad de sus sitios web y sistemas de información, y la seguridad de nuestros dispositivos conectados a Internet. Incorporamos medidas de seguridad en nuestras plataformas y productos conectados, y cumplimos con los requisitos de seguridad del IoT aplicables. El objetivo de esta política es proporcionar a los investigadores de seguridad directrices claras para llevar a cabo actividades de detección de vulnerabilidades y comunicar nuestras preferencias sobre cómo enviarnos las vulnerabilidades detectadas para su revisión. Le animamos a que se ponga en contacto con nosotros para informar de vulnerabilidades en nuestros sitios web, sistemas y productos

Si realiza un esfuerzo de buena fe por cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada únicamente en la medida en que cumpla con todas las condiciones de esta política y se encuentre dentro del Ámbito definido a continuación, y colaboraremos con usted para comprender y resolver rápidamente los problemas notificados. SharkNinja no recomendará ni emprenderá acciones legales relacionadas con su investigación, siempre que no haya excedido el alcance de esta política, actuado de mala fe o infringido ninguna ley aplicable

Tenga en cuenta que SharkNinja no cuenta con un programa de recompensas por errores y no ofrece ninguna recompensa ni compensación a cambio de la notificación de posibles problemas de seguridad o vulnerabilidades.

Directrices

SharkNinja sugiere las siguientes directrices para los investigadores que puedan informar de una vulnerabilidad o llevar a cabo una investigación legítima. En el marco de esta política, «investigación» se refiere a actividades en las que usted:

  • Nos notifique lo antes posible tras descubrir un problema de seguridad real o potencial
  • Haga todo lo posible por evitar violaciones de la privacidad, el deterioro de la experiencia del usuario, la interrupción de los sistemas de producción y la destrucción o manipulación de datos
  • Utilice exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad
  • No utilice un exploit para comprometer o sustraer datos, establecer un acceso no autorizado persistente ni utilizar el exploit para acceder a otros sistemas
  • Nos conceda un plazo razonable para resolver el problema antes de hacerlo público

Una vez que haya determinado que existe una vulnerabilidad o haya encontrado datos confidenciales (incluida información de identificación personal, información financiera o información privada o secretos comerciales de cualquier parte), deberá detener su prueba, notificárnoslo inmediatamente y no revelar estos datos a nadie más. Debe eliminar o destruir de forma permanente cualquier dato confidencial de este tipo que obre en su poder tan pronto como sea posible tras notificarlo a SharkNinja, y certificar dicha destrucción si se le solicita. Usted se compromete a mantener la confidencialidad de todos los detalles de cualquier vulnerabilidad descubierta hasta que SharkNinja haya confirmado que la vulnerabilidad ha sido subsanada o haya autorizado su divulgación pública por escrito

Notificación de una vulnerabilidad

Envíe un correo electrónico a privacy@sharkninja.com para notificar una vulnerabilidad. Para ayudarnos a clasificar y priorizar las notificaciones, le recomendamos que su informe incluya:

  • Cuándo se identificó la vulnerabilidad o el problema
  • Describa el sistema o producto en el que se descubrió la vulnerabilidad
  • Describa los pasos necesarios para reproducir la vulnerabilidad
  • Cualquier sugerencia o idea de corrección para abordar la vulnerabilidad

SharkNinja se compromete a acusar recibo de todas las notificaciones en un plazo de 3 días hábiles y agradece la participación en este programa.

En el caso de las notificaciones de vulnerabilidades relacionadas con productos conectados (o «IoT»), SharkNinja proporcionará actualizaciones periódicas hasta que se resuelva la vulnerabilidad notificada.

Ámbito de aplicación

El ámbito de aplicación de este programa incluye todos los sitios web de SharkNinja que sean propiedad de la empresa o para los que esta tenga licencia; todos los sistemas empresariales conectados a Internet; y los productos conectados a Internet y las aplicaciones móviles asociadas. El programa no incluye:

  • Campañas de ingeniería social o phishing dirigidas a empleados de SharkNinja
  • Ataques de denegación de servicio (DoS) contra sitios web o aplicaciones empresariales de SharkNinja
  • Cualquier otra actividad no autorizada con fines maliciosos

Póngase en contacto con SharkNinja en privacy@sharkninja.com si tiene alguna pregunta sobre este programa o para informar de una vulnerabilidad.