Únete en tiempo real a nuestros seminarios web diarios y así ponerte al día sobre automatizaciones, facturación y colaboración en equipo

Ver 6000
Reseñas

Programa Bug Bounty

Informar de una Vulnerabilidad de Seguridad o Privacidad

La política de recompensas por fallos de TaxDome se aplica a las vulnerabilidades de seguridad detectadas en el entorno público en línea de TaxDome.

Propósito

El objetivo de la Política es establecer las normas para la revisión, evaluación, aplicación y verificación de las actualizaciones del sistema para mitigar las vulnerabilidades del entorno informático y los riesgos asociados a ellas. Si crees que has descubierto una vulnerabilidad de seguridad o privacidad en el producto TaxDome, infórmanos de ello.

Desactivar las cookies

Puede evitar la instalación de cookies ajustando la configuración de su navegador (consulte la Ayuda de su navegador para saber cómo hacerlo). Tenga en cuenta que deshabilitar las cookies afectará a la funcionalidad de este sitio web y de muchos otros que visite. La desactivación de las cookies suele conllevar también la desactivación de determinadas funcionalidades y funciones de este sitio. Por lo tanto, le recomendamos que no desactive las cookies.

Admisibilidad de Recompensas

Todo investigador de seguridad está obligado a no realizar ninguna acción destructiva que pueda dar lugar a:

  • Pérdida de datos de otros usuarios
    Denegación de servicio a otros usuarios
    Añadir a cualquier lista de bloqueados

En caso de que sospeche que existe una vulnerabilidad de este tipo, póngase en contacto con el equipo de desarrollo de TaxDome en help@taxdome.com

Niveles de gravedad


Clasificamos las vulnerabilidades en función de su impacto potencial en nuestros sistemas. Esto nos ayuda a priorizar las correcciones y determinar las recompensas adecuadas. Los niveles de gravedad son

  • SEV-1 (gravedad baja): no hay forma de explotar la vulnerabilidad actualmente, pero tiene puntos débiles potenciales que podrían explotarse en el futuro.
  • SEV-2 (gravedad media): la vulnerabilidad permite a un atacante tener un impacto menor o limitado en el funcionamiento del sistema. Esto podría implicar un acceso limitado a los datos o eludir restricciones menores.
  • SEV-3 (gravedad alta): la vulnerabilidad afecta significativamente al funcionamiento de todo el sistema o permite a un atacante eludir restricciones sobre un conjunto limitado de datos.
  • SEV-4 (gravedad crítica): la vulnerabilidad afecta significativamente a todo el sistema o permite a un atacante acceder fácilmente a una cantidad importante de datos.
  • SEV-5 (gravedad extrema): la vulnerabilidad concede a un atacante acceso completo e indetectable al sistema.

Ejemplos de vulnerabilidades por gravedad

He aquí algunos ejemplos de vulnerabilidades clasificadas por su nivel de gravedad:

  • SEV-1 (gravedad baja): Inyección HTML/código malicioso/inyección URL; redirección abierta
  • SEV-2 (gravedad media): Posibilidad de ataque DOS (denegación de servicio); un empleado sin los derechos necesarios puede acceder al organizador y a la plantilla del organizador
  • SEV-3 (gravedad alta): un atacante puede robar los clientes de un usuario y puede vincular los clientes a sus contactos a través de IDOR (Insecure Direct Object References)
  • SEV-4 (gravedad crítica): un atacante puede obtener acceso no autorizado para eliminar facturas de todos los usuarios a través de IDOR
  • SEV-5 (gravedad extrema): un atacante puede inyectar código arbitrario que le permita apoderarse completamente de la cuenta de un usuario, robar sus datos y realizar acciones en su nombre sin ser detectado.

Proteger a nuestros clientes del phishing

TaxDome se compromete a proteger a sus clientes de los ataques de phishing. Los correos electrónicos de phishing son intentos fraudulentos de engañar a los destinatarios para que revelen información confidencial, como nombres de usuario, contraseñas o datos financieros. A veces, estos correos electrónicos parecen proceder de fuentes legítimas, como el propietario de una empresa que utiliza TaxDome.

Qué hay que tener en cuenta

Los correos electrónicos de phishing pueden ser muy convincentes, pero hay algunas señales de alarma a las que hay que prestar atención:

  • La dirección de correo electrónico puede parecerse a la de un remitente legítimo, pero presentar ligeras variaciones (por ejemplo, un carácter de más o un nombre de dominio diferente).
  • El correo electrónico puede dirigirse a usted genéricamente en lugar de por su nombre.
  • El correo electrónico puede crear una sensación de urgencia o presión para actuar con rapidez.
  • Los correos electrónicos de phishing suelen contener errores gramaticales o erratas.

Si recibe un correo electrónico sospechoso que dice ser del propietario de su empresa o de TaxDome, no haga clic en ningún enlace o archivo adjunto.

Notificación de intentos de phishing

Aunque apreciamos su vigilancia, tenga en cuenta que los informes sobre intentos de phishing no son elegibles para nuestro programa Bug Bounty. Nuestro programa se centra en identificar vulnerabilidades dentro de la propia plataforma TaxDome.

Normas del programa

Tenga en cuenta que sólo pagamos tasas por las denuncias originales. Si se registra un duplicado, le informaremos cuando se presente el primer informe.

Informes no elegibles:

  • Todo lo que no esté bajo nuestro control (servicios de terceros, incluidos, entre otros, Site.pro, featureOS, Intercom, Beamer, Customer.io).
  • Todo lo que requiera acceso físico al dispositivo o a la red
  • Todo lo que requiera versiones obsoletas de software o hardware
  • Ingeniería social, phishing, etc.
  • Recomendaciones y buenas prácticas, siempre que no exista un exploit específico

TaxDome no está obligado a proporcionar una explicación detallada si el Informe de Seguridad no es elegible.

¿Cómo informar de vulnerabilidades de seguridad o privacidad?

  1. Si cree que ha descubierto una vulnerabilidad de seguridad o privacidad que afecta al software, los servicios o los servidores web de TaxDome, notifíquenoslo.
  2. Agradecemos los informes de todo el mundo, incluidos investigadores de seguridad, desarrolladores y clientes.
  3. Para informar de una vulnerabilidad de seguridad o privacidad, envíe un correo electrónico a help@taxdome.com e incluya en su mensaje los vídeos, registros de fallos e informes de diagnóstico del sistema pertinentes.
  4. Recibirá una respuesta de TaxDome para confirmar que hemos recibido su informe. Nos pondremos en contacto con usted si necesitamos más información en un plazo de 10 días laborables.

Última actualización July 25, 2024

Ajustes de Privacidad

Este sitio web utiliza cookies y tecnologías similares para que disfrutes de la mejor experiencia en nuestro sitio web. Si continúas navegando, consideramos que aceptas el uso de la política de cookies.