Saltar al contenido principal

Call Center Vulnerability Disclosure Program & Platform

¿Qué es el VDP?

Salvaguardar la seguridad e integridad de la plataforma de Five9 es fundamental para el servicio que ofrecemos a nuestros clientes, y nos comprometemos a proporcionar un producto seguro. Reconocemos y valoramos la experiencia que la comunidad de investigación de seguridad proporciona con frecuencia, y Five9 reconoce que desarrollar una relación cercana con la comunidad ayudará a mejorar nuestra propia seguridad.

If you have discovered or believe you have discovered potential security vulnerabilities within Five9 services, we urge you to disclose your discovery to us in accordance with this Responsible Disclosure Program. Please be aware that this program has no monetary awards.

Imagen
¿Qué es el VDP?

¿Por dónde empiezo?

Descubrir vulnerabilidades de seguridad

We encourage responsible security research on the Five9 services and products. Upon prior written approval we permit you to conduct vulnerability research and testing on the Five9 Services to which you have authorized access. Requests are to be sent to privacy@five9.com.

En ningún caso su investigación y pruebas implicarán lo siguiente:

  1. Acceder, o intentar acceder, a cuentas o datos que no le pertenecen a usted o a sus usuarios autorizados.
  2. Cualquier intento de modificar o destruir cualquier dato.
  3. Ejecutar, o intentar ejecutar, un ataque de denegación de servicio.
  4. Enviar, o intentar enviar, correos electrónicos no solicitados o no autorizados, spam u otras formas de mensajes no solicitados a cualquier empleado o contratista de Five9.
  5. Probar sitios web, aplicaciones o servicios de terceros que se integren con los Servicios de Five9.
  6. Publicar, transmitir, cargar, enlazar, enviar o almacenar malware, virus o software dañino similar, o intentar interrumpir o degradar los servicios de Five9.
  7. Cualquier actividad que infrinja alguna ley aplicable, o que infrinja algún acuerdo para descubrir vulnerabilidades.

Cuestiones sobre las que no es necesario informar

  1. Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
  2. Divulgación de banner en servicios comunes/públicos
  3. Sugerencias de configuración del encabezado de seguridad HTTP/HTTPS/SSL/TLS
  4. Falta de marcadores Secure/HTTPOnly en cookies no confidenciales
  5. Técnicas de phishing o ingeniería social
  6. Presencia de operaciones de aplicación/navegador web de «completar automáticamente» o «guardar contraseña»
  7. Sugerencias de configuración de Sender Policy Framework (SPF)
  8. Configuraciones DMARC
  9. Clickjacking / UI Redressing

Informar sobre vulnerabilidades de seguridad

A la espera de la aprobación por escrito de Five9 para realizar la investigación, si cree que ha descubierto un problema de vulnerabilidad de seguridad, comparta los detalles con Five9 rellenando el siguiente formulario.

Puerto seguro

Al llevar a cabo investigaciones de vulnerabilidad de acuerdo con esta política, consideramos que esta investigación está:

  • autorizada de acuerdo con la Ley de Fraude y Abuso Informático (CFAA) (o leyes estatales similares), y no iniciaremos ni apoyaremos acciones legales contra usted por infracciones accidentales y de buena fe de esta política;
  • exenta de la Ley de Derechos de Autor del Milenio Digital (DMCA), y no presentaremos una reclamación contra usted por eludir los controles tecnológicos;
  • exenta de las restricciones de nuestros Términos y condiciones que pudieran interferir con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada para el trabajo realizado en el marco de esta política; y
  • es legal, útil para la seguridad general de internet y realizada de buena fe.
  • Se espera, como siempre, que cumpla con todas las leyes aplicables.

If at any time you have concerns or are uncertain whether your security research is consistent with this policy, please inquire via support@bugcrowd.com before going any further.

Compromiso del equipo de seguridad de Five9

Comprenda que su investigación se considera Información confidencial de Five9 y cualquier publicación, reproducción u otra distribución de cualquier parte de la investigación está expresamente prohibida sin el consentimiento previo por escrito de Five9. Si envía de forma responsable un informe de vulnerabilidad, el equipo de seguridad de Five9 y las organizaciones de desarrollo asociadas harán esfuerzos razonables para realizar lo siguiente:

  1. Responder de manera oportuna, reconociendo la recepción de su informe de vulnerabilidad.
  2. Proporcionar un plazo estimado para analizar el informe de vulnerabilidad.
  3. Notificarle cuando se haya solucionado la vulnerabilidad.

Informar de un error o vulnerabilidad