Programa y plataforma de divulgación de vulnerabilidades del centro de llamadas
¿Qué es el VDP?
Proteger la seguridad y la integridad de la plataforma Five9 es fundamental para el servicio que brindamos a nuestros clientes, y estamos dedicados a brindar un producto seguro. Reconocemos y valoramos la experiencia que la comunidad de investigación de seguridad proporciona con frecuencia, y Five9 reconoce que desarrollar una relación cercana con la comunidad ayudará a mejorar nuestra propia seguridad.
Si ha detectado o cree haber detectado posibles vulnerabilidades de seguridad dentro de los servicios de Five9, lo animamos a que nos informe su hallazgo de acuerdo con este Programa de divulgación responsable. Tenga en cuenta que este programa no otorga premios monetarios.
¿Cómo empiezo?
Cómo detectar las vulnerabilidades de seguridad
Fomentamos la realización de investigaciones de seguridad responsables en los servicios y productos de Five9. Previa aprobación por escrito, le permitimos realizar investigaciones y pruebas de vulnerabilidad en los servicios de Five9 a los que tiene acceso autorizado. Las solicitudes deben enviarse a privacy@five9.com.
En ningún caso su investigación y sus pruebas supondrán lo siguiente:
- Acceder o intentar acceder a cuentas o datos que no le pertenezcan a usted ni a sus usuarios autorizados.
- Cualquier intento de modificar o destruir datos.
- Ejecutar o intentar ejecutar un ataque de denegación de servicio.
- Enviar o intentar enviar correos electrónicos no solicitados o no autorizados, spam u otras formas de mensajes no solicitados a cualquier empleado o contratista de Five9.
- Probar sitios web, aplicaciones o servicios de terceros que se integren con los servicios de Five9.
- Publicar, transmitir, cargar, vincular, enviar o almacenar malware, virus o software perjudicial similar, o intentar interrumpir o degradar los servicios de Five9.
- Toda actividad que viole cualquier ley aplicable o incumpla cualquier acuerdo para descubrir vulnerabilidades.
Problemas que no se deben denunciar
- Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt).
- Divulgación de banners sobre servicios comunes o públicos.
- Sugerencias de configuración del encabezado de seguridad HTTP/HTTPS/SSL/TLS.
- Falta de marcadores Secure/HTTPOnly en cookies no confidenciales.
- Técnicas de suplantación de identidad o ingeniería social.
- Si hay operaciones de "completar automáticamente" o "guardar contraseña" en la aplicación o el navegador web.
- Sugerencias de configuración del protocolo Sender Policy Framework (SPF).
- Configuraciones de DMARC.
- Clickjacking / reparación de la interfaz de usuario
Cómo denunciar vulnerabilidades de seguridad
En espera de la aprobación por escrito de Five9 para realizar la investigación, si cree que ha detectado un problema de vulnerabilidad de seguridad, comparta los detalles con Five9 completando el formulario a continuación.
Disposición Safe Harbor
Al llevar a cabo investigaciones de vulnerabilidad de acuerdo con esta política, consideramos que esta investigación:
- Está autorizada de conformidad con la Ley de Fraude y Abuso Informático (CFAA) (o leyes estatales similares), y no iniciaremos ni apoyaremos acciones legales en su contra por violaciones accidentales y de buena fe de esta política.
- Está exenta de la Ley de Derechos de Autor en la Era Digital (DMCA), y no presentaremos una reclamación contra usted por la evasión de los controles tecnológicos.
- Está exenta de las restricciones de nuestros Términos y condiciones que interferirían con la realización de investigaciones de seguridad. Además, renunciamos a esas restricciones de forma limitada para el trabajo que se realice en virtud de esta política.
- Es legal, útil para la seguridad general de Internet, y se lleva a cabo de buena fe.
- Como siempre, se espera que usted cumpla con todas las leyes aplicables.
Si en algún momento tiene inquietudes o no está seguro de si su investigación de seguridad es coherente con esta política, consulte a través de support@bugcrowd.com antes de tomar alguna otra medida.
Compromiso del equipo de seguridad de Five9
Comprenda que su investigación se considera información confidencial de Five9 y cualquier publicación, reproducción u otra distribución de alguna parte de la investigación está expresamente prohibida sin el consentimiento previo por escrito de Five9. Si envía un informe de vulnerabilidad de manera responsable, el equipo de seguridad de Five9 y las organizaciones de desarrollo asociadas harán todos los esfuerzos razonables para hacer lo siguiente:
- Responder de manera oportuna, y acusar recibo de su informe de vulnerabilidad.
- Proveer un período de tiempo estimado para abordar el informe de vulnerabilidad.
- Notificarle cuando se haya solucionado la vulnerabilidad.