• Cart
  • Cart

Notificar problemas de seguridad a TechSmith

Si has descubierto una vulnerabilidad en un producto de TechSmith, consulta la siguiente Política de divulgación de vulnerabilidades de TechSmith y utiliza el formulario que encontrarás a continuación para informar sobre ello.

Política de divulgación de vulnerabilidades de TechSmith
Filosofía de la divulgación de vulnerabilidades

En TechSmith creemos que una divulgación efectiva de vulnerabilidades de seguridad requiere confianza mutua, respeto, transparencia y un compromiso con el bien común entre TechSmith y los investigadores de seguridad. Juntos, con nuestra atención constante y nuestro conocimiento especializado, reforzamos continuamente la seguridad y privacidad de los clientes, productos y servicios de TechSmith.

Si descubres una vulnerabilidad:

  1. Redacta un informe completo en el que se incluyan instrucciones paso a paso para reproducir el problema.
  2. Evita divulgar públicamente o a terceros el problema hasta que se haya resuelto.
  3. Comprométete a respetar la privacidad de los datos de los clientes de TechSmith. Si puedes, haz pruebas con tus propias cuentas.
  4. No destruyas ni alteres los datos de clientes de TechSmith que no te pertenezcan.
  5. Limpia todo después de hacer pruebas. Si la vulnerabilidad implica dejar entradas o archivos maliciosos en una propiedad de TechSmith, elimínalos u ocúltalos cuando ya no sean necesarios para poner de relieve el problema.

Qué haremos nosotros:

  1. Revisaremos tu informe a la mayor brevedad.
  2. Si no podemos reproducir el problema, nos pondremos en contacto contigo para que nos des más información sobre la vulnerabilidad.

Alcance

Entidades web incluidas

  • https://myaccount.en.tsc-stage.co
  • https://library.en.tsc-stage.co
  • https://videoreview.en.tsc-stage.co
  • https://www.screencast.com
  • https://en.tsc-stage.co

Productos de escritorio incluidos

  • Snagit [incluye las llamadas web salientes a otras propiedades de TechSmith]
  • Camtasia [incluye las llamadas web salientes a otras propiedades de TechSmith]
  • Audiate [incluye las llamadas web salientes a otras propiedades de TechSmith]
  • TechSmith Capture [incluye las llamadas web salientes a otras propiedades de TechSmith]

Entidades web no incluidas

  • https://login.en.tsc-stage.co
  • https://support.en.tsc-stage.co
  • https://.techsmithrelay.com https://.techsmithknowmia.com
  • Cualquier servicio de terceros

Si identificas una vulnerabilidad en un dominio o subdominio de TechSmith que no aparece en esta lista, puedes notificárnoslo igualmente, pero es posible que no cumpla los requisitos para obtener una recompensa. Si no sabes con seguridad si un dominio o subdominio en concreto pertenece a TechSmith, consulta su registro DNS. Frecuentemente redirigimos los subdominios en.tsc-stage.co a terceros proveedores. Ten en cuenta que muchos de nuestros servicios están protegidos por un firewall de aplicaciones web y esto puede reflejarse en los resultados de una consulta DNS. Las aplicaciones que funcionan en estos sitios web están dentro del alcance, pero no lo están las pruebas sobre el firewall de aplicaciones web.

Vulnerabilidades no incluidas en el alcance

No hagas pruebas ni envíes notificaciones sobre lo siguiente:

  • Ataques de denegación de servicio (DoS) contra entidades web
  • Fallos en la limitación de tasas
  • Envío de spam
  • Suplantación de correos electrónicos (“spoofing”)
  • Ingeniería social
  • Pruebas de intrusión física
  • Self-XSS
  • Problemas de configuración SSL/TLS
  • Fallos en X-Frame-Options o ataques de secuestro de clics (“clickjacking”)
  • Redirecciones abiertas sin una demostración activa de uso malicioso

Puerto seguro:

Si llevas a cabo investigaciones de vulnerabilidades de conformidad con esta política, consideramos que dicha actividad:

  • Está autorizada en virtud de la Ley estadounidense de Abuso y Fraude Informático (CFAA) y/o leyes estatales similares, por lo que no iniciaremos ni apoyaremos acciones legales en tu contra por infracciones accidentales cometidas de buena fe.
  • Está exenta de las disposiciones de la Ley estadounidense de Derechos de Autor de la Era Digital (DMCA), por lo que no presentaremos ninguna reclamación por elusión de controles tecnológicos.
  • Está exenta de las restricciones indicadas en nuestras Condiciones que puedan interferir con la investigación de seguridad; renunciamos a esas restricciones de forma limitada para el trabajo realizado bajo esta política; y
  • Es lícita, útil para la seguridad general de Internet y se ha llevado a cabo de buena fe.
  • Como siempre, se espera que cumplas con todas las leyes aplicables.

Si en algún momento tienes dudas o no sabes con certeza si tu investigación de seguridad cumple con esta política, por favor consúltanoslo antes de continuar enviándonos un correo a support@bugcrowd.com.