Programa de recompensas de errores – KNAPP AG

Para nosotros en KNAPP, la seguridad de nuestros sistemas tiene absoluta prioridad. No obstante, aunque dedicamos nuestros mayores esfuerzos, podría haber todavía vulnerabilidades en los sistemas. Si detectara alguna vulnerabilidad, le rogamos nos lo comunique para que podamos eliminarla lo antes posible y garantizar así la protección de nuestros sistemas y de nuestros clientes.

Recompensas de acuerdo con el nivel de riesgo de la vulnerabilidad:

  • Bajo: hasta 100,00 €
  • Medio: hasta 250,00 €
  • Elevado: hasta 500,00 €
  • Crítico: hasta 1.000,00 €

Alcance del programa:
A continuación se indican los servicios de KNAPP y sus dominios que están cubiertos por este programa:
knapp.com
*.knapp.com

Fuera del alcance:
Todos los dominios y servicios que no aparezcan explícitamente en la lista anterior, así como los ataques siguientes, se encuentran fuera del alcance del programa, es decir, no se consideran para una recompensa y no están cubiertos por la cláusula «Safe Harbor» mencionada abajo:

  • Ataques a la seguridad física de KNAPP
  • Ingeniería social
  • Denegación de servicio/denegación de servicio distribuido
  • Spam y phishing
  • Uso de herramientas automatizadas como escáneres de vulnerabilidades
  • Uso de herramientas para la enumeración de dominios
  • Toda actividad que sobrepase la demonstración del vector de ataque, como la escalada de privilegios después del acceso exitoso a un servidor.
  • Exfiltración, modificación o destrucción de datos
Informe de erroresInforme de errores

«Safe Harbor» para investigadores de seguridad
Las actividades de piratería informática que cumplen con estas normas y condiciones generales se consideran actividades autorizadas. Por consiguiente, KNAPP no tomará acciones legales contra usted si elude las medidas técnicas que utilizamos para proteger los servicios y sistemas mencionados en el «Alcance del programa». Algunas actividades (por ejemplo, destrucción de datos y DDoS) se consideran, sin embargo, delitos oficiales según el Código Penal Austriaco y serán perseguidos de oficio, incluso cuando afecten únicamente a nuestros propios sistemas. Por este motivo, asegúrese de cumplir el derecho penal austriaco.

Nuestra promesa:
Trataremos su informe de forma estrictamente confidencial y no proporcionaremos sus datos personales a terceros sin su consentimiento. Le mantendremos informado sobre los progresos en la eliminación de la vulnerabilidad y, en agradecimiento por su ayuda, le ofreceremos una recompensa. El requisito preliminar es que se cumplan las exigencias de calidad y que no conozcamos el contenido de su informe.

KNAPP se esfuerza por proporcionar información y actualizaciones rápidas sobre una posible remuneración. Sin embargo, no se puede garantizar una respuesta individual, especialmente en el caso de los informes que están fuera del alcance del programa, duplicados o notificaciones que no cumplan las exigencias de calidad. No existe ningún derecho legal a respuesta, evaluación o pago.

Su promesa:
Si detecta una vulnerabilidad, usted redactará un informe detallado y conciso que incluya las etapas de reproducción exactas. Lo ideal es que su informe sea comprensible también para los profanos en la materia. Usted promete que no divulgará en ningún momento información sobre su informe a terceros y que utilizará su hallazgo solamente para fines de demonstración; se prohíbe cualquier otro tipo de explotación. Su informe no debe contener condiciones, reivindicaciones, amenazas o exigencias de rescate. Asegúrese de cumplir con el Código de Ética (Code of Ethics) publicado por el Consejo Internacional de Consulta de Comercio Electrónico (EC-Council) (https://www.eccouncil.org/code-of-ethics/).

KNAPP solo evalúa informes que cumplan nuestras exigencias de calidad, es decir, deben incluir un análisis técnico propio (entre otros, pasos reproducibles, comportamiento esperado y observado, evaluación de impacto). Los textos que sean claramente genéricos o que se hayan generado exclusivamente por IA sin valor añadido técnico pueden cerrarse sin una respuesta individual. En estos casos no hay derecho a remuneración.

Investigador de seguridad
Cualquier persona que participe en el programa de recompensas de errores y respete estas reglas y condiciones generales, se clasificará como investigador de seguridad. Solo los investigadores de seguridad podrán obtener recompensas. Al participar, usted confirma que tiene al menos 18 años de edad o dispone del permiso de sus padres o tutores. Para poder clasificarse como investigador de seguridad, no debe tener una relación laboral como empleado con KNAPP en la actualidad ni haberla tenido en los últimos seis meses. Respete las leyes vigentes y no cometa actividades ilegales.

Informe de errores
El informe de errores (Bug Report) es una descripción resumida de sus descubrimientos y la vulnerabilidad detectada. El informe debe ser el primero que se refiera a la vulnerabilidad correspondiente y debe estar completo. Si dos informes de errores referentes a la misma vulnerabilidad pueden considerarse para una recompensa, solo se recompensará el primer informe que recibamos (según el orden de llegada).

Un informe está completo cuando se puede reproducir el error y medir las posibles consecuencias. Además, debe describir qué servicios están afectados, cómo podemos reproducir el problema y debe contener el número CVE de la vulnerabilidad (si es identificable), así como su descripción. Se excluyen del programa de recompensas de errores los informes que sean claramente genéricos o que se hayan generado por IA.

Evaluación del informe

La evaluación del informe será realizada exclusivamente por nosotros de acuerdo con el sistema CVSS (Common Vulnerabily Scoring System).

Datos personales

KNAPP trata sus datos personales para el procesamiento y la priorización de notificaciones/informes sobre la base del interés legítimo art. 6, apdo. 1, lit. f) RGPD; garantía de la seguridad de los sistemas informáticos y protección contra ataques). El tratamiento es necesario porque, de lo contrario, el informe no puede ser evaluado. Se trata de una notificación voluntaria y el tratamiento supone una intervención mínima.  Si su informe puede optar a una recompensa, KNAPP deberá procesar los datos personales necesarios (es decir, su nombre, sus datos bancarios, etc.) para realizar la transferencia de la recompensa ofrecida (art. 6 (1) b del RGPD). Sus datos personales se guardarán solo durante el período que sea necesario según las disposiciones legales y para cumplir con los fines indicados arriba. Sus datos personales no se proporcionarán a terceros sin su consentimiento (excepto proveedores de servicios de pago en caso de recompensa). No se realiza una toma de decisiones automatizada. Para obtener más información sobre la protección de datos y sobre el ejercicio de sus derechos como persona afectada, consulte la página: https://www.knapp.com/es/home/declaracion-de-proteccion-de-datos/.