Skip to main content

Plataforma y programa de divulgación de vulnerabilidades del centro de llamadas

¿Qué es el VDP?

Salvaguardar la seguridad e integridad de la plataforma de Five9 es fundamental para el servicio que ofrecemos a nuestros clientes, y nos comprometemos a proporcionar un producto seguro. Reconocemos y valoramos la experiencia que la comunidad de investigación de seguridad proporciona con frecuencia, y Five9 reconoce que desarrollar una relación cercana con la comunidad ayudará a mejorar nuestra propia seguridad.

Si ha descubierto o cree que ha descubierto posibles vulnerabilidades de seguridad en los servicios de Five9, le instamos a que nos comunique su hallazgo de acuerdo con este Programa de divulgación responsable. Tenga en cuenta que este programa no tiene recompensas económicas.

Imagen
What is the VDP?

¿Por dónde empiezo?

Descubrir vulnerabilidades de seguridad

Recomendamos realizar investigaciones de seguridad responsables en los servicios y productos de Five9. Previa aprobación por escrito, le permitimos realizar investigaciones y pruebas de vulnerabilidad en los servicios de Five9 a los que tenga acceso autorizado. Las solicitudes deben enviarse a privacy@five9.com.

En ningún caso su investigación y pruebas implicarán lo siguiente:

  1. Acceder, o intentar acceder, a cuentas o datos que no le pertenecen a usted o a sus usuarios autorizados.
  2. Cualquier intento de modificar o destruir cualquier dato.
  3. Ejecutar, o intentar ejecutar, un ataque de denegación de servicio.
  4. Enviar, o intentar enviar, correos electrónicos no solicitados o no autorizados, spam u otras formas de mensajes no solicitados a cualquier empleado o contratista de Five9.
  5. Probar sitios web, aplicaciones o servicios de terceros que se integren con los Servicios de Five9.
  6. Publicar, transmitir, cargar, enlazar, enviar o almacenar malware, virus o software dañino similar, o intentar interrumpir o degradar los servicios de Five9.
  7. Cualquier actividad que infrinja alguna ley aplicable, o que infrinja algún acuerdo para descubrir vulnerabilidades.

Cuestiones sobre las que no es necesario informar

  1. Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
  2. Divulgación de banner en servicios comunes/públicos
  3. Sugerencias de configuración del encabezado de seguridad HTTP/HTTPS/SSL/TLS
  4. Falta de marcadores Secure/HTTPOnly en cookies no confidenciales
  5. Técnicas de phishing o ingeniería social
  6. Presencia de operaciones de aplicación/navegador web de «completar automáticamente» o «guardar contraseña»
  7. Sugerencias de configuración de Sender Policy Framework (SPF)
  8. Configuraciones DMARC
  9. Clickjacking / UI Redressing

Informar sobre vulnerabilidades de seguridad

A la espera de la aprobación por escrito de Five9 para realizar la investigación, si cree que ha descubierto un problema de vulnerabilidad de seguridad, comparta los detalles con Five9 rellenando el siguiente formulario.

Puerto seguro

Al llevar a cabo investigaciones de vulnerabilidad de acuerdo con esta política, consideramos que esta investigación está:

  • autorizada de acuerdo con la Ley de Fraude y Abuso Informático (CFAA) (o leyes estatales similares), y no iniciaremos ni apoyaremos acciones legales contra usted por infracciones accidentales y de buena fe de esta política;
  • exenta de la Ley de Derechos de Autor del Milenio Digital (DMCA), y no presentaremos una reclamación contra usted por eludir los controles tecnológicos;
  • exenta de las restricciones de nuestros Términos y condiciones que pudieran interferir con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada para el trabajo realizado en el marco de esta política; y
  • es legal, útil para la seguridad general de internet y realizada de buena fe.
  • Se espera, como siempre, que cumpla con todas las leyes aplicables.

Si en algún momento tiene dudas o no está seguro de si su investigación de seguridad es coherente con esta política, consulte a support@bugcrowd.com antes de llevarla más allá.

Compromiso del equipo de seguridad de Five9

Comprenda que su investigación se considera Información confidencial de Five9 y cualquier publicación, reproducción u otra distribución de cualquier parte de la investigación está expresamente prohibida sin el consentimiento previo por escrito de Five9. Si envía de forma responsable un informe de vulnerabilidad, el equipo de seguridad de Five9 y las organizaciones de desarrollo asociadas harán esfuerzos razonables para realizar lo siguiente:

  1. Responder de manera oportuna, reconociendo la recepción de su informe de vulnerabilidad.
  2. Proporcionar un plazo estimado para analizar el informe de vulnerabilidad.
  3. Notificarle cuando se haya solucionado la vulnerabilidad.

Informar de un error o vulnerabilidad