Política de divulgación responsable de Foxit Software

Foxit toma la seguridad muy en serio y apunta a brindar las soluciones y los servicios más seguros de la industria para mantener protegidos los datos y los sistemas de los clientes. En Foxit, investigamos todos los informes de vulnerabilidades que recibimos e implementamos el mejor curso de acción para proteger a nuestros clientes. Foxit cree que trabajar con investigadores en seguridad capacitados permite identificar las debilidades de cualquier tecnología.

Si es un investigador en seguridad y detectó una vulnerabilidad de seguridad en nuestros productos y servicios, le agradecemos que nos la comunique de manera responsable.

Si identifica una vulnerabilidad de seguridad verificada en cumplimiento con la política de divulgación responsable de Foxit, el equipo de Foxit se compromete a:

  • Reconocer rápidamente la recepción del informe de vulnerabilidad (dentro de las 48 horas hábiles del envío).
  • Trabajar de cerca con usted para comprender la naturaleza del problema y establecer un cronograma para corregirla/divulgarla en conjunto.
  • Notificarle cuando se haya resuelto la vulnerabilidad, de modo que se pueda volver a probar y confirmarse como corregida.
  • Publicar una descripción en un boletín de seguridad cuando se lance la corrección y reconocer su contribución.
  • Publicar una alerta de seguridad si es necesario.

Informar una posible vulnerabilidad de seguridad:

  • Envíe un correo electrónico a [email protected] para solicitar una clave gpg.
  • Comparta con Foxit, de forma privada, los detalles de la posible vulnerabilidad a través del envío de un correo electrónico cifrado con una clave gpg a [email protected].
  • Proporcione los detalles completos de la posible vulnerabilidad, de modo que el equipo de seguridad de Foxit pueda validar y reproducir el problema.

Foxit no permite algunos tipos de investigaciones de seguridad:

Para alentar la divulgación responsable, les pedimos a todos los investigadores que cumplan las siguientes directrices de divulgación responsable:

  • Denos una cantidad de tiempo razonable para resolver el problema antes de divulgarlo al público o a un tercero. Intentamos resolver los problemas críticos lo más rápido posible.
  • Realice un esfuerzo de buena fe para evitar infringir la privacidad, destruir datos, o interrumpir o degradar el servicio de Foxit Software.

Durante la investigación, se prohíben expresamente los siguientes comportamientos:

  • Realizar acciones que podrían afectar negativamente a Foxit y sus usuarios (por ejemplo, spam, fuerza bruta, denegación de servicio, etc.).
  • Acceder, o intentar acceder, a datos o información que no le pertenezcan a usted.
  • Destruir o dañar, o bien intentar destruir o dañar, datos o información que no le pertenezcan a usted.
  • Llevar a cabo un tipo de ataque físico o electrónico contra el personal, la propiedad o los centros de datos de Foxit.
  • Aplicar ingeniería social a cualquier centro de asistencia, empleado o contratista de Foxit.
  • Infringir alguna ley o incumplir un contrato para detectar vulnerabilidades.

El director de Seguridad y el Consejo general de Foxit revisan nuestra política de divulgación de vulnerabilidades desde un punto de vista legal y operativo una vez al año.

Foxit quiere agradecer a cada uno de los investigadores individuales que envían informes de vulnerabilidad para ayudarnos a mejorar nuestra seguridad en general.