Política del programa de declaración responsable
En Revolut, la seguridad de los datos de nuestros clientes es nuestra prioridad. Esta página (el "Programa de declaración responsable") contiene toda la información que necesitas si crees que has descubierto posibles vulnerabilidades en alguno de nuestros servicios. Nuestro compromiso es ofrecer un nivel de seguridad de primera clase y agradecemos mucho poder contar la ayuda de nuestra comunidad para conseguirlo. Para asegurarte de que las declaraciones se hacen de forma responsable, cumple con las siguientes condiciones:
- Todas las solicitudes deben hacerse a través de la plataforma de Intigriti, en la que podrás registrarte con el enlace que encontrarás al final de esta página
- Asegúrate de enviar toda información lo antes posible, nos ayudará a resolver los problemas de seguridad sin demoras y a garantizar que seas la primera persona en obtener una recompensa (si procede)
- Todas las recompensas consistirán en puntos de reputación de Intigriti y serán administradas por Intigriti, de acuerdo a sus Términos y Condiciones. Más información aquí: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- La revelación pública de cualquier vulnerabilidad (por ejemplo, en presa o redes sociales) puede suponer un riesgo para nuestra comunidad, así que asegúrate de mantener la confidencialidad. Toda revelación deberá realizarse de acuerdo a este Programa de declaración responsable, a fin de que podamos centrarnos en resolver el problema lo antes posible. Nos reservamos el derecho a emprender acciones legales o retirar las recompensas en caso de que esto no se cumpla.
- Si descubres una vulnerabilidad y pasas a estar en posesión de datos personales de clientes o empleados de Revolut, debes asegurarte de borrarlos nada más realizar tu declaración a través del formulario que verás a continuación. Se considera información personal toda aquella que pueda ser usada para identificar a alguien.
- No se permite hacer uso de métodos ilegítimos con el fin de encontrar y reportar una vulnerabilidad.
Preguntas frecuentes
¿Qué información no debería proporcionar?
- Sugerencias de configuración para el Convenio de Remitentes (SPF), Correo Identificado mediante DomainKeys (DKIM) y Autenticación de Mensajes Basada en Dominios, Informes y Conformidad (DMARC)
- Divulgación de archivos o directorios públicos (ej.: robots.txt)
- Divulgación de banners de servicios comunes o públicos sin Prueba de Concepto (PoC)
- Configuración de encabezados de seguridad o falta de encabezados
- Falta de indicadores de seguridad/HTTPOnly para las cookies sin información sensible - Ataques de Ingeniería Social o suplantación de identidad (phishing)
¿Hay alguna recompensa?
En cuanto sea validada por Intigriti, recibirás los puntos de reputación de Intigriti mencionados en esta página: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
¿Cuándo recibiré más información después de hacer mi declaración?
Tu solicitud debe ser aceptada en 72 horas. Después, validaremos tu declaración y contactaremos contigo de nuevo en los próximos cinco días laborables.
¿Puedo publicar información sobre vulnerabilidades después de mi declaración?
Nos aseguramos de que los datos sean tratados como confidenciales para proteger a nuestra comunidad, todo ello de acuerdo con los Términos y Condiciones del investigador de Intigriti: https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Si tienes alguna pregunta al respecto, ponte en contacto con Intigriti a través de support@intigriti.com