En Criteo, la seguridad de nuestros productos y servicios es de suma importancia. Nuestro objetivo es brindar a nuestros clientes y usuarios la mejor experiencia posible, y garantizar que la informaci\u00f3n y los datos que se nos conf\u00edan est\u00e9n protegidos y seguros. Con ese fin, nos gusta recibir notificaciones realizadas de manera responsable y \u00e9tica de posibles vulnerabilidades por parte de investigadores de seguridad y de nuestra audiencia en general. Esta pol\u00edtica detalla lo que entendemos por una divulgaci\u00f3n responsable de vulnerabilidades y el proceso mediante el cual ser\u00e1n gestionadas.<\/p>\n
Si cumples con esta pol\u00edtica durante la investigaci\u00f3n, Criteo considerar\u00e1 que tus acciones han sido autorizadas y no emprenderemos ninguna acci\u00f3n legal contra ti.<\/p>\n
Cuando nos informes de un problema conforme a esta pol\u00edtica:<\/p>\n
Te responderemos en un plazo de tres d\u00edas h\u00e1biles y colaboraremos contigo para analizar y abordar la vulnerabilidad comunicada.<\/p>\n
Adoptaremos las medidas necesarias para corregir las vulnerabilidades notificadas a la mayor brevedad posible, salvo que se trate de un riesgo previamente identificado y aceptado por nuestra parte.<\/p>\n
Te mantendremos informado sobre nuestro progreso en la resoluci\u00f3n del problema<\/p>\n
Mantendremos la informaci\u00f3n sobre ti y la vulnerabilidad que nos notifiques de forma confidencial, salvo que se acuerde lo contrario contigo<\/p>\n
Te recompensaremos de acuerdo con lo descrito en la secci\u00f3n de recompensas<\/p>\n
Para que tu investigaci\u00f3n sea considerada una actividad autorizada bajo esta pol\u00edtica, debes:<\/p>\n
Actuar de buena fe y evitar el uso indebido de los sistemas y aplicaciones de forma que perjudiquen a Criteo o a nuestros clientes<\/p>\n
Notificar tan pronto como detectes un problema de seguridad real o potencial<\/p>\n
Divulgar del problema p\u00fablicamente solo despu\u00e9s de que hayamos implementado una soluci\u00f3n y de acuerdo con un consenso mutuo. El acuerdo establecer\u00e1 el momento de la divulgaci\u00f3n y el nivel de detalle a incluir<\/p>\n
y no debes:<\/p>\n
Acceder, modificar o eliminar datos pertenecientes a cuentas que no hayas creado t\u00fa<\/p>\n
Utilizar herramientas invasivas o destructivas de alta intensidad<\/p>\n
Enviar un gran volumen de informes de baja calidad (por ejemplo, simplemente pegando los resultados de esc\u00e1neres)<\/p>\n
Utilizar cualquiera de los siguientes m\u00e9todos de prueba:<\/p>\n
Pruebas de denegaci\u00f3n de servicio en red (DoS o DDoS) u otras pruebas que afecten el acceso o da\u00f1en un sistema o datos<\/p>\n
Pruebas f\u00edsicas (por ejemplo, acceso a oficinas, puertas abiertas, tailgating)<\/p>\n
Ingenier\u00eda social (por ejemplo, phishing, vishing) u otras pruebas de vulnerabilidades no t\u00e9cnicas<\/p>\n
Divulgar tus hallazgos a cualquier tercero sin la autorizaci\u00f3n previa por escrito de Criteo<\/p>\n
Utilizar un exploit para comprometer o extraer datos, para establecer un acceso persistente a la l\u00ednea de comandos o para acceder a otros sistemas. Los exploits deben emplearse \u00fanicamente en la medida necesaria para confirmar la existencia de una vulnerabilidad. Si tienes alguna duda, rep\u00f3rtala para que podamos confirmarla.<\/p>\n
Una vez que hayas verificado la existencia de una vulnerabilidad o encuentres datos sensibles (incluida informaci\u00f3n personal, financiera o informaci\u00f3n patentada, as\u00ed como secretos comerciales de cualquier parte), debes detener tu prueba, notificarnos de inmediato y no divulgar dicha informaci\u00f3n a terceros.<\/p>\n
Esta pol\u00edtica se aplica a todos los activos digitales que sean propiedad de Criteo o sean operados o mantenidos por la empresa. Se excluyen los servicios de terceros a los que se puede acceder a trav\u00e9s de uno de nuestros subdominios o que est\u00e9n integrados en alguno de nuestros productos.<\/p>\n
Puedes encontrar el alcance detallado y actualizado en nuestra pol\u00edtica de BugCrowd.<\/p>\n
Criteo podr\u00e1 reconocer y recompensas a quienes informen de manera responsable y \u00e9tica sobre problemas de seguridad, siempre que cumplan con esta pol\u00edtica. El importe de la recompensa, en caso de haberla, se determinar\u00e1 a nuestra discreci\u00f3n en funci\u00f3n de varios par\u00e1metros, incluyendo la gravedad de la vulnerabilidad, su impacto y la calidad del informe.<\/p>\n
En general, el importe de la recompensa var\u00eda desde 175 d\u00f3lares para vulnerabilidades de bajo impacto hasta 4.500 d\u00f3lares para las m\u00e1s cr\u00edticas.<\/p>\n
Ten en cuenta que todas las recompensas se gestionan a trav\u00e9s de nuestro programa privado en BugCrowd, por lo que se requiere una cuenta en BugCrowd para recibir la recompensa.<\/p>\n
Nuestras recompensas por detecci\u00f3n de vulnerabilidades se pagan \u00fanicamente a trav\u00e9s de BugCrowd. Para notificar una posible vulnerabilidad de seguridad, crea un informe en esta plataforma que incluya una descripci\u00f3n detallada y los pasos para reproducir tus hallazgos.<\/p>\n
Si actualmente no formas parte de nuestro programa privado de detecci\u00f3n de vulnerabilidades, puedes enviarnos un email con tu usuario de BugCrowd a security@criteo.com y te enviaremos una invitaci\u00f3n si cumples con nuestros criterios de elegibilidad.<\/p>\n
Para notificar una posible vulnerabilidad de seguridad, tambi\u00e9n puedes enviarnos un email a security@criteo.com<\/a> con una descripci\u00f3n detallada, incluidos los pasos para reproducir la vulnerabilidad que has detectado.<\/p>\n Si eres cliente, ten en cuenta que, adem\u00e1s de nuestro programa de detecci\u00f3n de vulnerabilidades, tambi\u00e9n realizamos pruebas de penetraci\u00f3n peri\u00f3dicas, cuyos resultados puedes solicitar a tu punto de contacto en Criteo.<\/p>\nClientes<\/h2>\n
Preguntas<\/h2>\n