Política del Programa de revelación responsable

General

La seguridad de los datos de nuestros usuarios es una prioridad para Revolut. El objetivo de esta página (el «Programa de revelación responsable») es ofrecerte toda la información necesaria si has descubierto, o crees haberlo hecho, una potencial vulnerabilidad en alguno de nuestros servicios.

Nuestro compromiso es garantizar que tenemos una seguridad de máximo nivel, y agradecemos la ayuda de nuestra comunidad para conseguirlo. Para asegurarnos de que cualquier revelación se realiza de forma responsable, cumple con los siguientes términos:

  • Todas las presentaciones deberán realizarse mediante el formulario que aparece al final de esta página.
  • Asegúrate de que las revelaciones se realizan lo antes posible. Así no solo ayudarás a resolver los problemas de seguridad a tiempo, también te asegurarás de ser el primero en recibir una recompensa, si procede.
  • Todas las recompensas serán puntos BugCrowd, gestionadas por BugCrowd de acuerdo don sus términos y condiciones.
  • La revelación pública de cualquier vulnerabilidad (por ejemplo, a través de las redes sociales o la prensa) puede suponer un riesgo para nuestra comunidad, de modo que asegúrate de hacerlo de forma confidencial. Toda revelación deberá llevarse a cabo de acuerdo con este Programa de revelación responsable, a fin de que podamos centrarnos en resolver el problema lo antes posible. Nos reservamos el derecho de emprender acciones legales o retirar las recompensas en caso de que esto no se cumpla.
  • Si descubres una vulnerabilidad y entras en contacto con datos personales de clientes o empleados de Revolut, asegúrate de borrarlos tan pronto como reveles el asunto mediante el formulario que figura a continuación. Los datos personales es cualquier tipo de información que identifica a un individuo.
  • Tu investigación emprendida para informar de una vulnerabilidad no podrá haber incurrido en ninguna actividad legal, por ejemplo:
    • Acceso cuentas o datos que no te pertenecen, o haberlo intentado
    • Intentos de usar malware, virus o software dañino similar
    • Envío de mensajes no deseados

Preguntas frecuentes

  1. ¿Qué es lo que no debo notificar?
    • Sugerencias de configuración del Convenio de Remitentes (SPF, por sus siglas en inglés), DKIM y DMARC
    • Revelación de archivos o directorios públicos, por ejemplo, robots.text
    • Revelación de titulares en servicios comunes/públicos sin PoC
    • Configuraciones de encabezados de seguridad o encabezado faltante
    • Falta de seguridad/HTTP Solo en cookies no confidenciales
    • Phishing o ataques de ingeniería social
  2. ¿Existe alguna recompensa?

    Una vez que BugCrowd lo valide, recibirás puntos BugCrowd tal y como se menciona en esta página: https://researcherdocs.bugcrowd.com/docs/getting-rewarded.
  3. Después de hacer la revelación, ¿cuándo volveré a saber de vosotros?

    Abordaremos tu envío en un plazo de 72 horas. Después, habrá que validar tu revelación. Nos pondremos en contacto contigo, por lo general, en los 5 días hábiles siguientes.
  4. ¿Puedo publicar algo sobre la vulnerabilidad después de mi revelación?

    Pedimos que preservar la confidencialidad de todos los datos para proteger del mejor modo posible nuestra comunidad. Si tienes preguntas, ponte en contacto con BugCrowd en support@bugcrowd.com.

Formulario de revelación responsable