Programa de recompensas de errores – KNAPP AG

Para nosotros en KNAPP, la seguridad de nuestros sistemas tiene absoluta prioridad. No obstante, aunque dedicamos nuestros mayores esfuerzos, podría haber todavía vulnerabilidades en los sistemas. Si detectara alguna vulnerabilidad, le rogamos nos lo comunique para que podamos eliminarla lo antes posible y garantizar así la protección de nuestros sistemas y de nuestros clientes.

Recompensas de acuerdo con el nivel de riesgo de la vulnerabilidad:

  • Bajo: hasta 100,00 €
  • Medio: hasta 250,00 €
  • Elevado: hasta 500,00 €
  • Crítico: hasta 1.000,00 €

Alcance del programa:
A continuación se indican los servicios de KNAPP y sus dominios que están cubiertos por este programa:
knapp.com
*.knapp.com

«Safe Harbor» para investigadores de seguridad
Las actividades de piratería informática que cumplen con estas normas y condiciones generales se consideran actividades autorizadas. Por consiguiente, KNAPP no tomará acciones legales contra usted si elude las medidas técnicas que utilizamos para proteger los servicios y sistemas mencionados en el «Alcance del programa». Algunas actividades (por ejemplo, destrucción de datos y DDoS) se consideran, sin embargo, delitos oficiales según el Código Penal Austriaco y serán perseguidos de oficio, incluso cuando afecten únicamente a nuestros propios sistemas. Por este motivo, asegúrese de cumplir el derecho penal austriaco.

Nuestra promesa:
Trataremos su informe de forma estrictamente confidencial y no proporcionaremos sus datos personales a terceros sin su consentimiento. Le mantendremos informado sobre los progresos en la eliminación de la vulnerabilidad y, en agradecimiento por su ayuda, le ofreceremos una recompensa. El requisito preliminar es que no conozcamos el contenido de su informe.

Su promesa:
Si detecta una vulnerabilidad, usted redactará un informe detallado y conciso que incluya las etapas de reproducción exactas. Lo ideal es que su informe sea comprensible también para los profanos en la materia. Usted promete que no divulgará en ningún momento información sobre su informe a terceros y que utilizará su hallazgo solamente para fines de demonstración; se prohíbe cualquier otro tipo de explotación. Su informe no debe contener condiciones, reivindicaciones, amenazas o exigencias de rescate. Asegúrese de cumplir con el Código de Ética (Code of Ethics) publicado por el Consejo Internacional de Consulta de Comercio Electrónico (EC-Council) (https://www.eccouncil.org/code-of-ethics/).

Investigador de seguridad
Cualquier persona que participe en el programa de recompensas de errores y respete estas reglas y condiciones generales, se clasificará como investigador de seguridad. Solo los investigadores de seguridad podrán obtener recompensas. Al participar, usted confirma que tiene al menos 18 años de edad o dispone del permiso de sus padres o tutores. Para poder clasificarse como investigador de seguridad, no debe tener una relación laboral como empleado con KNAPP en la actualidad ni haberla tenido en los últimos seis meses. Respete las leyes vigentes y no cometa actividades ilegales.

Informe de errores
El informe de errores (Bug Report) es una descripción resumida de sus descubrimientos y la vulnerabilidad detectada. El informe debe ser el primero que se refiera a la vulnerabilidad correspondiente y debe estar completo. Si dos informes de errores referentes a la misma vulnerabilidad pueden considerarse para una recompensa, solo se recompensará el primer informe que recibamos (según el orden de llegada).

Un informe está completo cuando se puede reproducir el error y medir las posibles consecuencias. Además, debe describir qué servicios están afectados, cómo podemos reproducir el problema y debe contener el número CVE de la vulnerabilidad (si es identificable), así como su descripción.

Evaluación de informes
La evaluación del informe de errores será realizada exclusivamente por nosotros de acuerdo con el sistema CVSS (Common Vulnerabily Scoring System).

Datos personales
Al participar en el programa de recompensas de errores de KNAPP, estará aceptando el procesamiento de sus datos personales según el art. 6 (1)a del RGPD cuando envíe su informe de errores a KNAPP o cuando se dirija a KNAPP. Si su informe puede optar a una recompensa, KNAPP deberá procesar los datos personales necesarios (es decir, su nombre, sus datos bancarios, etc.) para realizar la transferencia de la recompensa ofrecida (art. 6 (1) b del RGPD). Sus datos personales se guardarán solo durante el período que sea necesario según las disposiciones legales y para cumplir con los fines indicados arriba. Sus datos personales no se proporcionarán a terceros sin su consentimiento. No se realiza una toma de decisiones automatizada. Para obtener más información sobre la protección de datos y sobre el ejercicio de sus derechos como persona afectada consulte la página: https://www.knapp.com/es/home/declaracion-de-proteccion-de-datos/