Política de información sobre vulnerabilidades de Salesforce.com

El equipo de seguridad de salesforce.com reconoce el valioso papel que representan los investigadores de seguridad independientes en Internet. El mantenimiento de la seguridad de los datos de nuestros clientes es nuestra prioridad principal, e instamos a la información responsable sobre cualquier vulnerabilidad que se encuentre en nuestro sitio o aplicación. Salesforce.com se compromete a trabajar con la comunidad de la seguridad para verificar y responder a cualquier vulnerabilidad potencial de la que se nos informe. Del mismo modo, salesforce.com promete no iniciar ninguna acción legal contra investigadores de seguridad que penetren o intenten penetrar en nuestros sistemas siempre que cumplan las siguientes condiciones.

 

Prueba de vulnerabilidades de seguridad:

Dirigir todas las pruebas de vulnerabilidad contra organizaciones de prueba o de Developer Edition (instancias) de nuestros servicios en línea para reducir al mínimo el riesgo sobre los datos de nuestros clientes.

 

Para informar de una vulnerabilidad de seguridad potencial:

  • Comparta privadamente los detalles de la vulnerabilidad sospechada con salesforce.com enviando un mensaje de correo electrónico a security@salesforce.com
  • Proporcione los detalles completos de la vulnerabilidad sospechada, de modo que el equipo de seguridad de salesforce.com valide y reproduzca el problema

 

Salesforce.com no permite los siguientes tipos de investigaciones de seguridad:

  • Provocación o intento de provocación de una anomalía de Denegación de servicio (DoS)
  • Acceso o intento de acceso a datos o información que no sea de su propiedad
  • Destrucción o daño o intento de destrucción o daño de datos o información que no sea de su propiedad

 

El compromiso del equipo de seguridad de salesforce.com:

Para todos los investigadores de seguridad que sigan esta Política de información sobre vulnerabilidades de Salesforce.com, el equipo de seguridad de salesforce.com se compromete a lo siguiente:

  • A responder de forma oportuna, acusando recibo de su informe
  • A proporcionar un espacio de tiempo aproximado para resolver la vulnerabilidad
  • A notificar a la persona que ha informado cuando la vulnerabilidad se haya corregido

 

Sin compensación económica:

Salesforce.com no compensa económicamente a las personas por informar de una vulnerabilidad de seguridad, y cualquier solicitud de dicha compensación se considerará una infracción de las anteriores condiciones. En dicho caso, salesforce.com se reserva sus derechos legales.