Política de divulgación de vulnerabilidades

Consideramos la seguridad como un pilar fundamental de nuestros productos y nos tomamos muy en serio la privacidad del usuario y la protección de datos. Ya seas usuario de productos de seguridad de TerraMow, desarrollador de terceros o investigador de seguridad independiente, tus hallazgos son esenciales para mejorar nuestros productos y proteger a los usuarios. Agradecemos y valoramos tu colaboración al revelar problemas de seguridad.

1. Quién puede reportar

Cualquier persona que descubra un posible problema de seguridad en los productos o servicios de TerraMow.

2. Cómo reportar

Si descubres una vulnerabilidad de seguridad en un producto de TerraMow o experimentas un incidente de seguridad, envía la información pertinente a support@terramow.com.

3. Qué incluir en su informe (recomendado)

Producto/firmware/software afectado y modelo del dispositivo

Pasos detallados, método de reproducción e información del entorno

Evaluación del impacto y del riesgo (si está disponible)

Opcional: PoC (prueba de concepto), registros, capturas de pantalla o grabaciones de pantalla

Si prefiere permanecer en el anonimato o ser acreditado en la divulgación pública.

4. Cómo gestionamos los informes (alineado con ISO/IEC 30111 y CVSS 3.1)

4.1 Acuse de recibo: Confirmaremos la recepción en un plazo de 1 día hábil y realizaremos una evaluación inicial.

4.2 Solicitud de detalles: Si es necesario, nos pondremos en contacto con usted para obtener información confidencial adicional que ayude a reproducir y verificar el problema.

4.3 Verificación y evaluación: Reproduciremos, verificaremos y puntuaremos la vulnerabilidad usando CVSS 3.1.

4.4 Corrección y validación: Para los problemas confirmados, desarrollaremos e implementaremos parches o mitigaciones y verificaremos las correcciones en las líneas de producto relevantes.

4.5 Publicación de actualizaciones: Entregaremos actualizaciones o parches a los dispositivos afectados a través de canales oficiales como OTA(por aire).

4.6 Monitorización y seguimiento: Tras la publicación, supervisaremos la estabilidad y la eficacia de la seguridad y seguiremos optimizando si es necesario.

5. Plazos objetivo

-Acuse de recibo del informe: en un plazo de 1 día hábil.

-Evaluación inicial: en un plazo de 3 días hábiles, con un plan de respuesta preliminar

Plazos objetivo de corrección:

-Crítico: corrección en un plazo de 3 días hábiles

-Alto/Medio: corrección en un plazo de 30 días hábiles o implementación de mitigaciones aplicables

-Bajo: corrección en un plazo de 180 días hábiles o adopción de medidas adecuadas.

Nota: Algunos problemas pueden verse limitados por hardware, entorno de implementación o dependencias de terceros. Los plazos finales se determinarán según las condiciones reales. Le mantendremos informado durante todo el proceso.

6. Confidencialidad y divulgación coordinada

Protegemos la información del informante y los detalles de la vulnerabilidad para evitar su divulgación pública hasta que las correcciones estén en su lugar y la coordinación esté completa.

Aceptamos coordinar el momento de la divulgación pública. Si lo desea, podemos acreditarle en la divulgación (o mantenerle en el anonimato si lo solicita).

7. Notas adicionales

Fomentamos la divulgación responsable: por favor evite publicar detalles antes de coordinar con nosotros para prevenir riesgos a los usuarios.

Agradecemos las contribuciones profesionales de personas y equipos que nos ayudan a mejorar la seguridad. Las recompensas u opciones de colaboración pueden tratarse en comunicaciones posteriores.

Gracias por ayudar a TerraMow a proteger la seguridad de los usuarios. Nos tomamos cada informe en serio—tus hallazgos y tu apoyo impulsan nuestra mejora continua.