Política para reportar sobre vulnerabilidades

En Salesforce, la confianza es nuestro valor principal y nos tomamos muy en serio la protección de los datos de nuestros clientes.

El equipo de seguridad de Salesforce reconoce el valioso papel que representan los investigadores de seguridad independientes en Internet. Como resultado, instamos a que se reporte de forma responsable sobre cualquier vulnerabilidad que se encuentre en nuestro sitio o aplicaciones. Salesforce se compromete a trabajar con los investigadores de seguridad para verificar y solucionar cualquier vulnerabilidad potencial de la que se nos reporte.

Revise estas condiciones antes de probar o reportar sobre una vulnerabilidad. Salesforce promete no iniciar ninguna acción legal contra investigadores de seguridad que penetren o intenten penetrar en nuestros sistemas siempre que cumplan esta política.

Prueba de vulnerabilidades de seguridad:

Siempre que esté disponible una versión Trial o Developer, dirija todas las pruebas de vulnerabilidad contra dichas instancias. Utilice siempre cuentas de prueba o demostración al probar nuestros servicios online.

Para reportar sobre una vulnerabilidad de seguridad potencial:

  • Comparta privadamente los detalles de la vulnerabilidad sospechada con Salesforce enviando un mensaje de email a security@salesforce.com
  • Proporcione los detalles completos de la vulnerabilidad sospechada, de modo que el equipo de seguridad de Salesforce valide y reproduzca el problema

Salesforce no permite los siguientes tipos de investigaciones de seguridad:

Aunque le instamos a descubrir y reportar sobre cualquier vulnerabilidad que localice de forma responsable, las siguientes conductas están expresamente prohibidas:

  • La realización de acciones que puedan afectar negativamente a Salesforce o a sus usuarios (por ej. spam, fuerza bruta, denegación de servicio…)
  • El acceso o intento de acceso a datos o información que no sea de su propiedad
  • La destrucción o daño o intento de destrucción o daño de datos o información que no sea de su propiedad
  • La realización de cualquier ataque físico o electrónico contra el personal, la propiedad o los centros de datos de Salesforce
  • La realización de ingeniería social con cualquier centro de atención, empleado o contratista de Salesforce
  • La realización de pruebas de vulnerabilidad en servicios participantes utilizando cualquier cuenta que no sea de prueba (por ej. instancias de las versiones Developer o Trial)
  • La infracción de cualquier normativa o acuerdo para descubrir vulnerabilidades

El compromiso del equipo de seguridad de Salesforce:

Solicitamos que no comparta o dé publicidad a cualquier vulnerabilidad sin resolver con terceros. Si envía un reporte de vulnerabilidad de forma responsable, el equipo de seguridad de Salesforce y las organizaciones de desarrollo asociadas emplearán esfuerzos razonables para:

  • Responder de forma oportuna, acusando recibo de su reporte de vulnerabilidad
  • Proporcionar un espacio de tiempo aproximado para resolver el reporte de vulnerabilidad
  • Informarle cuando la vulnerabilidad se haya corregido

Expresaremos nuestro agradecimiento a todos los investigadores independientes que envíen reportes de vulnerabilidad para ayudarnos a mejorar nuestra postura global de seguridad en Salesforce.