Política de divulgación de vulnerabilidades

Descripción general de la política

Esta política es relevante para cualquier vulnerabilidad potencial que considere reportar a Active Healthcare Solutions Ltd, que opera bajo el nombre comercial de Relish (en adelante, la «Empresa»). Esta política se aplica siempre que el sitio web de la Empresa cuente con un archivo security.txt que haga referencia a ella. Si considera haber identificado una vulnerabilidad de seguridad en el sistema de la Empresa, le solicitamos que envíe un informe de vulnerabilidad a la dirección indicada en el campo «CONTACTO» del archivo security.txt.

Su informe debe incluir:

El sitio web, la página u otra ubicación relevante donde está presente la vulnerabilidad.

- Una breve descripción del tipo de vulnerabilidad.
Pasos para reproducir la vulnerabilidad. Esto garantiza que el informe se pueda abordar con rapidez y precisión, y minimiza la posibilidad de recibir informes duplicados o de la explotación maliciosa de ciertas vulnerabilidades.

      Tras enviar su informe, nuestro objetivo es responder en un plazo de 7 días hábiles y resolver el problema en un plazo de 30 días hábiles. Le notificaremos cuando se haya solucionado la vulnerabilidad y es posible que se le solicite que confirme si la solución la resuelve adecuadamente.

      Agradecemos el esfuerzo de quienes informan responsablemente sobre vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas económicas por dichas divulgaciones.

      NO debes:

      - Infringir cualquier ley o normativa aplicable.
      - Acceder a datos innecesarios, excesivos o significativos.
      - Modificar datos en los sistemas o servicios de la Compañía.
      - Utilizar herramientas de escaneo invasivas o destructivas de alta intensidad para identificar vulnerabilidades.
      - Intentar o denunciar cualquier forma de denegación de servicio, como saturar un servicio con un gran volumen de solicitudes.
      - Interrumpir los servicios o sistemas de la Compañía.
      - Presentar informes que detallen vulnerabilidades no explotables, o informes que indiquen que los servicios no cumplen totalmente con las “mejores prácticas”, por ejemplo, encabezados de seguridad faltantes.
      - Comunicar cualquier vulnerabilidad o detalles relacionados a través de medios distintos a los especificados en el archivo security.txt.
      - Participar en ingeniería social, 'phishing' o ataques físicos al personal o la infraestructura de la Compañía.

          Usted debe:

          Cumpla siempre con las normas de protección de datos y no vulnere la privacidad de los datos que la Compañía conserva. Por ejemplo, no comparta, redistribuya ni descuide la protección adecuada de los datos recuperados de los sistemas o servicios.

          - Elimine de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o dentro de 1 mes de que se resuelva la vulnerabilidad, lo que ocurra primero (o según lo requiera la ley de protección de datos).

          Aspectos legales: Esta política está diseñada para ser compatible con las buenas prácticas comunes de divulgación de vulnerabilidades. No le autoriza a actuar de forma incompatible con la ley ni a incumplir las obligaciones legales de la Compañía o de sus socios.

          Archivo de seguridad