Seguridad

Divulgación responsable.

Un canal directo para investigadores de seguridad que encuentren una vulnerabilidad en cualquier superficie de cantarell.energy o activo de una subsidiaria.

Reportar una vulnerabilidad

Tomamos cada reporte en serio.

Escribe a security@cantarell.energy con los detalles indicados abajo. Si el tema es sensible, solicita nuestra llave PGP en tu primer mensaje y te responderemos con una.

security@cantarell.energy security.txt

Qué incluir

La información que necesitamos.

Pasos de reproducción claros avanzan las cosas más rápido. Mientras más podamos verificar al primer leer, más rápido triageamos y arreglamos.

01
Superficie afectada
La URL específica, endpoint de API o activo de subsidiaria donde se reproduce el problema.
02
Pasos de reproducción
Una lista numerada de los pasos exactos para disparar el problema. Capturas o video corto ayudan.
03
Evaluación de impacto
Qué podría hacer un atacante: acceso a datos, escalada de privilegios, toma de cuenta, interrupción de servicio.
04
Versiones / entornos afectados
Qué navegador, SO o plataforma reproduce. Si reproduce en producción o staging.
05
Contacto del investigador
Cómo quieres que te contactemos. Nombre preferido para atribución si el arreglo se divulga públicamente.

Nuestros compromisos

Lo que puedes esperar de nosotros.

01 · Acuso

Respuesta humana en 72 horas

Una persona real acusa el reporte en tres días hábiles y te dice quién es responsable del triage.

02 · Triage

Clasificación de severidad y ETA

Clasificamos severidad con rúbricas estándar y compartimos una ETA de remediación apropiada a la clase.

03 · Divulgación

Divulgación coordinada

Coordinamos la divulgación pública con el reportante. Si el arreglo es material, acreditamos a los investigadores que deseen crédito.

04 · Sin abogados

Puerto seguro para investigación de buena fe

No emprenderemos acción legal contra investigadores que actúen de buena fe dentro del alcance abajo.

Puerto seguro

Actuar de buena fe.

Si haces un esfuerzo de buena fe por cumplir esta política durante tu investigación, consideraremos tu investigación autorizada, trabajaremos contigo para entender y resolver el problema rápido, y no recomendaremos ni emprenderemos acción legal relacionada con tu investigación.

Si un tercero inicia acción legal contra ti por actividades conducidas conforme a esta política, tomaremos pasos para hacer saber que tus acciones se condujeron en cumplimiento de nuestra política.

Actuar de buena fe significa: no dañas intencionalmente a Cantarell, sus subsidiarias, sus usuarios ni a terceros; no extraes datos más allá de lo necesario para probar la vulnerabilidad; no divulgas públicamente el problema antes de una resolución coordinada.

Alcance

Dentro y fuera de alcance.

En alcance

cantarell.energy y cualquier subdominio
cantarellcarriers.com
cantarellsystems.com
Apps móviles de subsidiarias publicadas bajo entidades Cantarell
Flujos de autenticación y autorización en cualquiera de los anteriores

Fuera de alcance

Denegación de servicio, ataques volumétricos, bypass de rate-limit por carga
Spam, phishing o ataques de ingeniería social contra staff de Cantarell
Ataques físicos contra oficinas o personal
Vulnerabilidades en servicios de terceros o dependencias upstream (repórtalas directamente)
Reportes que requieran acceso físico a un dispositivo desbloqueado

Continúa

Cómo nos hacemos responsables.

Principios, políticas y estándares a nivel holding.

Gobernanza

Divulgación responsable.

Tomamos cada reporte en serio.

La información que necesitamos.

Superficie afectada

Pasos de reproducción

Evaluación de impacto

Versiones / entornos afectados

Contacto del investigador

Lo que puedes esperar de nosotros.

Respuesta humana en 72 horas

Clasificación de severidad y ETA

Divulgación coordinada

Puerto seguro para investigación de buena fe

Actuar de buena fe.

Dentro y fuera de alcance.

Cómo nos hacemos responsables.

Divulgación responsable.

Tomamos cada reporte en serio.

La información que necesitamos.

Superficie afectada

Pasos de reproducción

Evaluación de impacto

Versiones / entornos afectados

Contacto del investigador

Lo que puedes esperar de nosotros.

Respuesta humana en 72 horas

Clasificación de severidad y ETA

Divulgación coordinada

Puerto seguro para investigación de buena fe

Actuar de buena fe.

Dentro y fuera de alcance.

Cómo nos hacemos responsables.