Política de información sobre vulnerabilidades

 

En Salesforce, la confianza es nuestro valor principal y nos tomamos muy en serio la protección de los datos de nuestros clientes.

El equipo de seguridad de Salesforce reconoce el valioso papel que representan los investigadores de seguridad independientes en Internet. Como resultado, instamos a la información responsable sobre cualquier vulnerabilidad que se encuentre en nuestro sitio o aplicaciones. Salesforce se compromete a trabajar con los investigadores de seguridad para verificar y solucionar cualquier vulnerabilidad potencial de la que se nos informe.

Revise estas condiciones antes de probar o informar sobre una vulnerabilidad. Salesforce promete no iniciar ninguna acción legal contra investigadores de seguridad que penetren o intenten penetrar en nuestros sistemas siempre que cumplan esta política.

Prueba de vulnerabilidades de seguridad:

Siempre que esté disponible una versión Trial o Developer, dirija todas las pruebas de vulnerabilidad contra dichas instancias. Utilice siempre cuentas de prueba o demostración al probar nuestros servicios en línea.

 

Para informar de una vulnerabilidad de seguridad potencial:

  • Comparta privadamente los detalles de la vulnerabilidad sospechada con Salesforce enviando un mensaje de correo electrónico a security@salesforce.com
  • Proporcione los detalles completos de la vulnerabilidad sospechada, de modo que el equipo de seguridad de Salesforce valide y reproduzca el problema
 

Salesforce no permite los siguientes tipos de investigaciones de seguridad:

Aunque le instamos a descubrir e informar sobre cualquier vulnerabilidad que localice de forma responsable, las siguientes conductas están expresamente prohibidas:

  • La realización de acciones que puedan afectar negativamente a Salesforce o a sus usuarios (por ej. spam, fuerza bruta, denegación de servicio…)
  • El acceso o intento de acceso a datos o información que no sea de su propiedad
  • La destrucción o daño o intento de destrucción o daño de datos o información que no sea de su propiedad
  • La realización de cualquier ataque físico o electrónico contra el personal, la propiedad o los centros de datos de Salesforce
  • La realización de ingeniería social con cualquier centro de atención, empleado o contratista de Salesforce
  • La realización de pruebas de vulnerabilidad en servicios participantes utilizando cualquier cuenta que no sea de prueba (por ej. instancias de las versiones Developer o Trial)
  • La infracción de cualquier normativa o acuerdo para descubrir vulnerabilidades
 

El compromiso del equipo de seguridad de Salesforce:

Solicitamos que no comparta o dé publicidad a cualquier vulnerabilidad sin resolver con terceros. Si envía un informe de vulnerabilidad de forma responsable, el equipo de seguridad de Salesforce y las organizaciones de desarrollo asociadas emplearán esfuerzos razonables para:

  • Responder de forma oportuna, acusando recibo de su informe de vulnerabilidad
  • Proporcionar un espacio de tiempo aproximado para resolver el informe de vulnerabilidad
  • Informarle cuando la vulnerabilidad se haya corregido

Expresaremos nuestro agradecimiento a todos los investigadores independientes que envíen informes de vulnerabilidad para ayudarnos a mejorar nuestra postura global de seguridad en Salesforce.