En Choice Hotels International, apreciamos y alentamos a los investigadores de seguridad a contactarnos para informar posibles vulnerabilidades identificadas en cualquier producto, sistema o activo que nos pertenezca. En apoyo a esto, establecimos una Política de divulgación responsable, también llamada Política de divulgación de vulnerabilidad. Perfeccionaremos y revisaremos esta política a medida que avancemos hacia el futuro; no dejes de consultar esta página para conocer las actualizaciones.
Mensaje especial para el investigador de seguridad o comunidad de denunciantes de vulnerabilidad.
Gracias de antemano por notificarnos sobre posibles deficiencias en nuestra seguridad. Agradecemos a aquellos que se unen a nosotros para rectificar vulnerabilidades que nos ayuden a garantizar el menor impacto y riesgo para nuestras comunidades interesadas. Por lo tanto, verás incluida en nuestra política una solicitud de ayuda para la solución de problemas o corrección de esas deficiencias y una solicitud para que compartas tu resolución propuesta.
No emprenderemos acciones legales ni iniciaremos una queja ante la seguridad pública o contra el buscador o investigador que opere de buena fe. Sin embargo, Choice Hotels International se reserva todos los derechos legales en caso de incumplimiento de las Pautas para operar bajo buena fe a continuación. Pautas para operar bajo buena fe that follow.
Recompensa
Toma en cuenta que Choice Hotels International actualmente no ofrece un programa de “recompensas de errores” (bug bounty); por lo tanto, no extendemos ninguna oferta de compensación o recompensa o reconocimiento público por la presentación de vulnerabilidades potenciales.
Pautas para operar bajo buena fe
Para promover el descubrimiento y la notificación de vulnerabilidades, te pedimos lo siguiente:
- Ser respetuoso de nuestras aplicaciones existentes; actuar para evitar infracciones a la privacidad, destrucción de datos e interrupción o degradación de nuestros servicios (incluida la denegación de servicio)
- No acceder ni modificar tus datos o los datos de nuestras partes interesadas
- Contactarnos de inmediato si encuentras datos de partes interesadas No consultar, alterar, destruir, guardar, compartir, almacenar, transferir, acceder o de otra manera comprometer los datos, y omite cualquier información local cuando nos informes de la vulnerabilidad
- Si te encuentra información personal (por ejemplo, nombres, direcciones físicas, direcciones de correo electrónico, números de cuentas de lealtad, identificadores únicos, números de tarjetas de crédito), detén toda actividad y comunícate inmediatamente con Choice Hotels International.
- No generar transacciones financieras fraudulentas
- No participar en ninguna actividad que infrinja a) las leyes o regulaciones federales, estatales o internacionales o b) las leyes o regulaciones de cualquier país donde i) residen activos, datos o sistemas, ii) el tráfico de datos se enruta, iii) el investigador realiza una actividad de investigación o iv) donde residen los interesados
- Comparte el problema de seguridad o privacidad con nosotros.
Divulgación responsable/proceso de divulgación de vulnerabilidad: cómo enviar una vulnerabilidad
Para divulgar una posible vulnerabilidad, envía un correo electrónico a los equipos de seguridad de la información y privacidad: responsibledisclosure@choicehotels.com.
Formato de envío
Cuando informes una vulnerabilidad potencial, incluye una descripción detallada de la vulnerabilidad: herramientas utilizadas, destino, procesos y resultados. Para respaldar tus hallazgos, adjunta cualquier método pertinente que utilizaste para el descubrimiento. Aunque no es necesario para la revisión, validación o verificación de la vulnerabilidad, si tienes información sobre la solución de la vulnerabilidad, comparte tu resolución propuesta.
Confirmación y respuesta
Cuando el equipo de seguridad de la información recibe un informe, enviaremos una confirmación en respuesta al remitente dentro los cinco días hábiles posteriores. Podríamos enviar una solicitud de seguimiento para obtener más información según sea necesario. Después de la validación o verificación de una vulnerabilidad, enviaremos una respuesta de seguimiento al remitente.
Periodo de tiempo
Choice Hotels International no negociará en respuesta a una amenaza (por ejemplo, no negociaremos bajo amenaza de retención o amenaza de liberar la vulnerabilidad al público). Dicho esto, dedicamos nuestros recursos a trabajar contigo y te pedimos que nos permitas un tiempo razonable tanto para la validación y verificación como para la resolución de la vulnerabilidad antes de tomar medidas para hacerla pública.
Informes de vulnerabilidad externa
Choice Hotels International determinará a discreción si comunica información de vulnerabilidad a terceros o a colaboradores.
Fuera de alcance
Lo siguiente está fuera del alcance de la presentación bajo la Política de divulgación responsable. Entre las vulnerabilidades fuera de alcance se incluyen las siguientes:
- Ingeniería social, como intentos de robo de cookies, páginas de inicio de sesión falsas para recopilar credenciales y phishing
- Ataques de agotamiento de los recursos
- Análisis físicos
- Ataques de denegación de servicio
REV 09/03/2019