Introducción
En Criteo, la seguridad de nuestros productos y servicios es de suma importancia. Nuestro objetivo es brindar a nuestros clientes y usuarios la mejor experiencia posible, y garantizar que la información y los datos que se nos confían estén protegidos y seguros. Con ese fin, nos gusta recibir notificaciones realizadas de manera responsable y ética de posibles vulnerabilidades por parte de investigadores de seguridad y de nuestra audiencia en general. Esta política detalla lo que entendemos por una divulgación responsable de vulnerabilidades y el proceso mediante el cual serán gestionadas.
Autorización
Si cumples con esta política durante la investigación, Criteo considerará que tus acciones han sido autorizadas y no emprenderemos ninguna acción legal contra ti.
Nuestros compromisos
Cuando nos informes de un problema conforme a esta política:
Te responderemos en un plazo de tres días hábiles y colaboraremos contigo para analizar y abordar la vulnerabilidad comunicada.
Adoptaremos las medidas necesarias para corregir las vulnerabilidades notificadas a la mayor brevedad posible, salvo que se trate de un riesgo previamente identificado y aceptado por nuestra parte.
Te mantendremos informado sobre nuestro progreso en la resolución del problema
Mantendremos la información sobre ti y la vulnerabilidad que nos notifiques de forma confidencial, salvo que se acuerde lo contrario contigo
Te recompensaremos de acuerdo con lo descrito en la sección de recompensas
Directrices
Para que tu investigación sea considerada una actividad autorizada bajo esta política, debes:
Actuar de buena fe y evitar el uso indebido de los sistemas y aplicaciones de forma que perjudiquen a Criteo o a nuestros clientes
Notificar tan pronto como detectes un problema de seguridad real o potencial
Divulgar del problema públicamente solo después de que hayamos implementado una solución y de acuerdo con un consenso mutuo. El acuerdo establecerá el momento de la divulgación y el nivel de detalle a incluir
y no debes:
Acceder, modificar o eliminar datos pertenecientes a cuentas que no hayas creado tú
Utilizar herramientas invasivas o destructivas de alta intensidad
Enviar un gran volumen de informes de baja calidad (por ejemplo, simplemente pegando los resultados de escáneres)
Utilizar cualquiera de los siguientes métodos de prueba:
Pruebas de denegación de servicio en red (DoS o DDoS) u otras pruebas que afecten el acceso o dañen un sistema o datos
Pruebas físicas (por ejemplo, acceso a oficinas, puertas abiertas, tailgating)
Ingeniería social (por ejemplo, phishing, vishing) u otras pruebas de vulnerabilidades no técnicas
Divulgar tus hallazgos a cualquier tercero sin la autorización previa por escrito de Criteo
Utilizar un exploit para comprometer o extraer datos, para establecer un acceso persistente a la línea de comandos o para acceder a otros sistemas. Los exploits deben emplearse únicamente en la medida necesaria para confirmar la existencia de una vulnerabilidad. Si tienes alguna duda, repórtala para que podamos confirmarla.
Una vez que hayas verificado la existencia de una vulnerabilidad o encuentres datos sensibles (incluida información personal, financiera o información patentada, así como secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar dicha información a terceros.
Alcance
Esta política se aplica a todos los activos digitales que sean propiedad de Criteo o sean operados o mantenidos por la empresa. Se excluyen los servicios de terceros a los que se puede acceder a través de uno de nuestros subdominios o que estén integrados en alguno de nuestros productos.
Puedes encontrar el alcance detallado y actualizado en nuestra política de BugCrowd.
Recompensas
Criteo podrá reconocer y recompensas a quienes informen de manera responsable y ética sobre problemas de seguridad, siempre que cumplan con esta política. El importe de la recompensa, en caso de haberla, se determinará a nuestra discreción en función de varios parámetros, incluyendo la gravedad de la vulnerabilidad, su impacto y la calidad del informe.
En general, el importe de la recompensa varía desde 175 dólares para vulnerabilidades de bajo impacto hasta 4.500 dólares para las más críticas.
Ten en cuenta que todas las recompensas se gestionan a través de nuestro programa privado en BugCrowd, por lo que se requiere una cuenta en BugCrowd para recibir la recompensa.
Notificación de vulnerabilidades
Nuestras recompensas por detección de vulnerabilidades se pagan únicamente a través de BugCrowd. Para notificar una posible vulnerabilidad de seguridad, crea un informe en esta plataforma que incluya una descripción detallada y los pasos para reproducir tus hallazgos.
Si actualmente no formas parte de nuestro programa privado de detección de vulnerabilidades, puedes enviarnos un email con tu usuario de BugCrowd a security@criteo.com y te enviaremos una invitación si cumples con nuestros criterios de elegibilidad.
Para notificar una posible vulnerabilidad de seguridad, también puedes enviarnos un email a security@criteo.com con una descripción detallada, incluidos los pasos para reproducir la vulnerabilidad que has detectado.
Clientes
Si eres cliente, ten en cuenta que, además de nuestro programa de detección de vulnerabilidades, también realizamos pruebas de penetración periódicas, cuyos resultados puedes solicitar a tu punto de contacto en Criteo.
Preguntas
Si tienes alguna pregunta sobre esta política o sobre la seguridad de la información en Criteo, contáctanos en security@criteo.com.
Gracias por tu contribución a garantizar la seguridad en Criteo. Agradecemos tu ayuda para hacer que nuestros productos y servicios sean más seguros.
