Política de divulgación coordinada.

Cómo reportar

Envía los informes de vulnerabilidad a security@cybriq.io. Usa cifrado PGP si el hallazgo es sensible (huella de la clave PGP compartida bajo solicitud). El archivo security.txt en /.well-known/security.txt documenta esto de forma canónica.

Un informe útil incluye: una descripción breve del problema, pasos para reproducir, el componente o endpoint afectado y una prueba de concepto o entorno de reproducción si procede. Los investigadores no necesitan proporcionar puntuaciones de severidad estilo CVE; evaluaremos la severidad usando la calculadora estándar CVSS 3.1 y compartiremos nuestra puntuación con el reportante.

Alcance

Dentro del alcance:

• La propia plataforma CybrIQ (RoomIQ, SpacesIQ, el plano de gestión y las APIs subyacentes).
• El sitio cybriq.io y cualquier subdominio público operado por CybrIQ.
• La infraestructura del plano de control SaaS operada por CybrIQ.

Fuera del alcance:

• Servicios e infraestructura de terceros en los que CybrIQ se apoya (esos van al programa del proveedor original).
• Despliegues CybrIQ gestionados por el cliente y alojados por él (siguen el programa propio del cliente).
• Hallazgos que requieran acceso físico a endpoints de empleados de CybrIQ, ingeniería social al personal de CybrIQ o denegación de servicio a sistemas de producción.

Calendario de divulgación coordinada

• Día 1 (acuse de recibo): respuesta humana confirmando la recepción y asignando un ID de seguimiento.
• Día 3 (triaje): evaluación inicial de severidad compartida con el reportante.
• Día 30 (estado): actualización del estado de remediación, incluyendo la ventana prevista de despliegue de la corrección.
• Día 90 (divulgación por defecto): divulgación pública coordinada salvo que la corrección se haya desplegado y confirmado antes, o salvo que se acuerde mutuamente una extensión para hallazgos de alto impacto.

Puerto seguro

CybrIQ se compromete a tratar los informes de vulnerabilidad de buena fe. Los investigadores que sigan esta política de buena fe (haciendo un esfuerzo razonable para evitar violaciones de privacidad, destrucción de datos o interrupción del servicio) están operando dentro del alcance autorizado. CybrIQ no iniciará acciones legales contra investigadores que actúen de buena fe y dentro de esta política.

Recompensa

CybrIQ paga recompensas por hallazgos válidos confirmados. La tabla de recompensas se comparte con el reportante en la fase de triaje y escala con la severidad (CVSS bajo / medio / alto / crítico). El pago se realiza con la remediación confirmada, no con el informe inicial.

Para investigaciones que mejoren fundamentalmente la postura de seguridad de la plataforma (hallazgos a nivel de arquitectura, cadenas de ataque novedosas), CybrIQ financiará un trabajo de seguimiento con el investigador bajo términos separados.

Reconocimientos

Los investigadores que han reportado hallazgos válidos confirmados bajo esta política se listan a continuación, con su permiso. Más recientes primero.

Aún no hay reconocimientos públicos. El programa funciona de forma continua; esta lista se actualiza a medida que los investigadores reportan y el equipo coordina la divulgación.

Hallazgos en el entorno del cliente

Si eres cliente de CybrIQ y crees que una mala configuración en tu propio despliegue ha producido un hallazgo de seguridad, contacta con tu rotación de guardia de SupportIQ en lugar de esta dirección. El equipo de guardia puede reproducirlo contra tu entorno con rapidez; esta dirección es para hallazgos contra la propia plataforma.