FENDI considera sus sistemas y, en particular, los datos personales como activos fundamentales para la empresa, cuya seguridad y confidencialidad son un factor esencial para la confianza de sus clientes.
A pesar de toda la atención puesta en las medidas de seguridad, es posible que algunas vulnerabilidades no se detecten durante las diversas publicaciones o que surjan nuevas eventualidades.
Si ha descubierto alguna vulnerabilidad inherente a los dominios FENDI y desea compartirla con nosotros, le pedimos, con un espíritu de divulgación responsable, que nos envíe un informe relacionado con el problema siguiendo esta política de divulgación responsable.
En particular:
- la denuncia debe realizarse en forma no anónima utilizando únicamente la información descrita en el siguiente enlace y se deberán facilitar los principales datos útiles que nos permitan identificar y reproducir la vulnerabilidad mencionada;
- las vulnerabilidades descubiertas deben mantenerse en estricta confidencialidad y secreto, comprometiéndose a no revelarlas ni ponerlas a disposición de terceros hasta que FENDI comunique que se han aplicado las contramedidas oportunas y, en todo caso, antes de compartir los contenidos que se pretenden divulgar, por cuestiones de protección mutua se deberá evitar la difusión involuntaria de información corporativa no vinculada a la vulnerabilidad y que debe permanecer con carácter confidencial;
- en caso de tratarse de una persona jurídica (pública o privada), una entidad, un consorcio u otro tipo de asociación, quien envía el informe se compromete a limitar el acceso a la información sobre las vulnerabilidades detectadas únicamente a sus empleados y en la medida estrictamente necesaria conforme a su actividad, cuidando en cualquier caso de poner en marcha todas las medidas idóneas y adecuadas para asegurar la confidencialidad y los antes mencionados límites de acceso y uso de la información sobre las vulnerabilidades descubiertas;
- es requisito colaborar con el equipo de Seguridad de FENDI y los grupos de trabajo involucrados;
- deberá abstenerse de toda actividad que pudiera resultar en una violación, pérdida y/o destrucción de datos relacionados con los sistemas y servicios involucrados en la denuncia y degradación o interrupción de los servicios. En este sentido, queda expresamente prohibido:
- acceder a los datos, modificarlos, descargarlos;
- implementar acciones similares a los ataques de Denegación de Servicio que pueden dañar el funcionamiento de cualquier activo o recurso FENDI;
- cargar, enlazar, ejecutar o enviar cualquier tipo de código malicioso utilizando sistemas FENDI;
- realizar pruebas cuyo efecto sea el envío de mensajes no deseados, spam u otras formas de mensajes no autorizados.
Una vez recibido el informe, FENDI hará todo lo posible para:
- enviar una respuesta dentro del plazo de 20 días, proporcionando información sobre la relevancia del informe en relación a la política de divulgación responsable y sobre el resultado del análisis preliminar realizado por FENDI;
- mantener la confidencialidad del informe, sin perjuicio del cumplimiento de obligaciones legales y/o disposiciones de la autoridad competente.
FENDI considera el período de confidencialidad de la información hasta el momento de la anulación de la vulnerabilidad y la consiguiente divulgación a quien haya enviado el informe.
Los informes relacionados con los siguientes casos están excluidos de esta política de divulgación responsable y, en consecuencia, serán rechazados sin realizar ninguna mención al respecto:
- resultados de evaluación automática de vulnerabilidades y/o pruebas de penetración y/o herramientas de recopilación de información
- resultados de ataques de Denegación de Servicio (DoS, DDoS), para los cuales FENDI se reserva el derecho de tomar las medidas correspondientes;
- resultados de evaluación realizados a través de sitios especializados;
- errores relacionados con la interfaz de usuario o la experiencia del usuario que no constituyen una falla de seguridad (por ejemplo, errores tipográficos, errores en el formato de la página);
- estudios sobre dominios no gestionados directamente por FENDI o, en cualquier caso, que no formen parte del perímetro antes mencionado al que se aplica dicha política;
- todos los informes que no estén relacionados con la seguridad y la política de divulgación responsable.
Fendi tratará los datos personales de contacto del denunciante (nombre, correo electrónico y opcionalmente número telefónico) con el único fin de gestionar el seguimiento de la denuncia y emprender las acciones necesarias en relación con la vulnerabilidad reportada. Los datos personales del denunciante podrán divulgarse a las autoridades competentes y a terceras empresas que nos brinden servicios de investigación en relación a la vulnerabilidad comunicada.
Fendi agradece los informes, pero aclara que no admite recompensas (en efectivo o de otro tipo) por los mismos y en relación con las vulnerabilidades identificadas o presuntas.
Fendi se reserva el derecho de no gestionar informes que no cumplan con los requisitos establecidos en la política de divulgación responsable.
FENDI se reserva el derecho de actualizar en cualquier momento la política de divulgación responsable descrita anteriormente.