Respuesta de seguridad

SecurEnvoy es un proveedor fiable para gestionar identidades. En los cinco continentes, sus clientes se benefician de implantaciones rápidas ampliadas gracias al aprovisionamiento instantáneo, la simplicidad de uso y la facilidad de gestión.

La misión de SecurEnvoy es proporcionar la mejor solución de protección e inteligencia de la identidad en la industria de la seguridad; alentamos y apreciamos las interacciones positivas con los investigadores de seguridad para garantizar que nuestras soluciones mantengan los estándares de seguridad.

Póngase en contacto con security@securenvoy.com y trataremos todos los informes con la máxima importancia mientras evaluamos el impacto que podría tener para nuestros clientes.

Durante este proceso, SecurEnvoy contactará tan pronto como sea posible, hasta finalizar nuestra investigación y proporcionar cualquier remedio necesario. Le agradecemos su tiempo y experiencia para mejorar la seguridad de nuestra empresa y nuestros clientes.
 

Nuestro proceso de pruebas

SecurEnvoy no opera con un programa de recompensas por errores en este momento, pero puede optar por recompensar a los informantes de los problemas en algunos casos, a nuestra conveniencia.

Cada una de nuestras versiones se somete a un riguroso entorno de pruebas para garantizar que superamos las expectativas de seguridad de nuestros clientes y consumidores. Estas pruebas incluyen una prueba de entrada para proporcionar a nuestros clientes garantías sobre los riesgos de esta última versión. Nuestros consultores de pruebas cuentan con numerosas certificaciones CREST, incluyendo CREST Certified Tester, CREST Registered Tester y CREST Certified Simulated Attack Manager, entre otras certificaciones reconocidas por la industria.
 

Revelación responsable

La notificación a SecurEnvoy antes de hacer pública la información sobre una vulnerabilidad es una práctica habitual en el sector de la seguridad y se conoce como «revelación responsable». Esta notificación previa permite a SecurEnvoy investigar, corregir y revelar las vulnerabilidades conocidas a sus clientes de manera que se proteja a los usuarios finales de SecurEnvoy antes de que se notifique su existencia a los delincuentes informáticos, lo que refuerza la seguridad de Internet para las empresas.

Agradecemos su ayuda para garantizar la seguridad de los productos y servicios de SecurEnvoy.
 

Reglas de actuación

Para garantizar una buena experiencia con SecurEnvoy, pedimos a los investigadores comprometerse a seguir estas sencillas reglas para limitar la posibilidad de que los datos de la empresa o del cliente puedan estar en peligro:
 

• El usuario no interactúa con ninguna cuenta individual (lo que incluye modificar, eliminar, compartir, copiar o acceder a los datos de la cuenta) si el propietario de la cuenta no ha dado su consentimiento para tales acciones.
• Usted se esfuerza sinceramente para evitar violaciones de la privacidad e interrupciones a otros, incluyendo (pero no limitado a) la destrucción de datos y la interrupción o deterioro de nuestros servicios durante sus procesos de prueba.
• No utilice sus descubrimientos para hacer phishing, spam, ingeniería social o defraudar de alguna manera a cualquier cliente o empleado de SecurEnvoy durante el curso de las pruebas para obtener más de un acceso escalado.
• No realice ataques de denegación de servicio (DoS) o de denegación de servicio distribuida (DDoS) contra ningún recurso/servicio de SecurEnvoy para probar el impacto por un presunto problema de seguridad.
• Si alguna vez no tiene claro los límites de sus pruebas, póngase en contacto con security@securenvoy.com para coordinarlas con nosotros. A menudo podemos validar sus sospechas de forma sencilla, lo que puede reducir la posibilidad de que se produzcan daños en nuestros servicios y clientes.

Informar de las vulnerabilidades de seguridad

Para un problema de seguridad con los servicios en línea necesitamos…

• La fecha y la hora en que descubrió inicialmente el problema.
• La(s) URL(s) en la(s) que ha encontrado el problema de seguridad.
• Todas las rúbricas y parámetros pertinentes utilizados para demostrar el riesgo contra el servicio.
• Su sistema operativo y su navegador, con el número de versión, utilizados para todas las pruebas.
• Asimismo, enumere las herramientas de terceros o los scripts personalizados que se utilizaron en el momento de la prueba.

Para un problema de seguridad con el software empaquetado necesitamos…

• El nombre del software SecurEnvoy que estaba probando y el número de versión.
• El sistema operativo, la plataforma u otros detalles relevantes del entorno.
• Si procede, el archivo de configuración del software con la información confidencial redactada.

Para todas las cuestiones de seguridad, por favor incluya también…

• Una descripción del tipo de problema (por ejemplo, ejecución remota de código, secuencias de comandos en sitios cruzados).
• Su punto de vista sobre el impacto, la criticidad del hallazgo y cualquier caso de abuso.
• El código de muestra (es decir, prueba de concepto) o la herramienta utilizada para generar una carga útil de explotación.
• La mejor manera de contactar con la persona que encontró el problema (por ejemplo, correo electrónico, teléfono).
• Cualquier calendario previsto para revelarlo si se planea publicar los resultados.
• Cualquier información a la que pueda haber accedido accidentalmente durante las pruebas sin permiso.

Nuestra respuesta

SecurEnvoy acusará recibo de una denuncia en un plazo de 48 horas y le pedirá que nos proporcione un plazo razonable para investigar y mitigar un problema antes de hacer pública cualquier información sobre la denuncia o de compartir dicha información con otros.

Es posible que SecurEnvoy tenga que hacer un seguimiento con preguntas adicionales para asegurarse de que entendemos el informe y su impacto claramente.

Una vez que se haya validado y solucionado un problema notificado, SecurEnvoy hará un anuncio público a sus clientes y lo publicará a través del sitio web/blogs y actualizará las notas de la versión correspondientes.