Informes de vulnerabilidad

• Amazon Web Services (AWS): Envíenos un correo electrónico a aws-security@amazon.com (clave PGP) para informar sobre una vulnerabilidad o problema de seguridad en los servicios en la nube de AWS o en los proyectos de código abierto.
• Amazon: Notifique a Retail Security si encuentra una vulnerabilidad o un problema de seguridad en relación con los servicios o productos de Amazon Retail.
• Pruebas de penetración: Los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de penetración en su infraestructura de AWS sin aprobación previa para los servicios indicados. Para obtener orientación adicional, consulte la Política para pruebas de penetración.
• Abuso de AWS: Si sospecha que los recursos de AWS (como una instancia EC2 o un bucket de S3) se utilizan para actividades sospechosas, complete el formulario de abuso de AWS o contáctese con trustandsafety@support.aws.com.

A fin de poder responder a su informe de manera más eficiente, proporcione cualquier material de respaldo (código de la prueba de concepto, resultado de una herramienta, etc.) que podría ser útil para ayudarnos a comprender la naturaleza y la gravedad de la vulnerabilidad.

Amazon CNA emitirá CVE que ayudarán a los clientes a abordar las vulnerabilidades de seguridad válidas dentro de las siguientes clases:

• Servicios de AWS proporcionados por AWS y disponibles públicamente para los clientes. (Por ejemplo, Amazon EC2, Amazon RDS).
• Servicios de Amazon proporcionados por Amazon y disponibles públicamente para los clientes. (Por ejemplo, el servicio API para vendedores de Amazon.com).
• Software de código abierto dentro de una organización de GitHub administrada por Amazon o AWS.
• Software de cliente publicado por Amazon o AWS y disponible para su descarga desde un sitio web o una ubicación de descarga de nuestra propiedad y gestionado por nosotros (por ejemplo, Amazon Appstore SDK, Amazon Input SDK, Amazon Kindle App, Amazon MShop App o el cliente de Amazon WorkSpaces).
• Dispositivos fabricados por Amazon o AWS y disponibles para que los clientes los compren y usen (por ejemplo, Amazon Fire TV, dispositivos Amazon Echo, Amazon Kindle, AWS Outpost).

Además, se deben cumplir todos los requisitos siguientes:

• Impacto en el cliente: El problema debe existir dentro de una clase propiedad de Amazon o AWS que esté disponible públicamente para los clientes; Y
• Agencia de clientes: La solución de los problemas relacionados con los productos compatibles o de EOL/EOS requiere la acción del cliente, incluida la toma de una decisión basada en el riesgo a la hora de gestionar la reparación (O los clientes deben evaluar el posible impacto) O cuando una vulnerabilidad de seguridad válida se hará pública (O tiene el potencial de hacerse pública); Y
• Puntuación CVSS: 4.0 (MEDIA) o superior.

Los problemas de servicios, software o hardware que no se consideran una vulnerabilidad incluyen, entre otros:

• Configuración no predeterminada o cambios realizados con credenciales válidas que se autorizaron correctamente
• Dirigirse a bienes de clientes de Amazon o AWS (o a sitios ajenos de AWS alojados en infraestructura de AWS)
• Cualquier vulnerabilidad obtenida al comprometer las cuentas de clientes o empleados de Amazon o AWS
• Cualquier ataque de denegación de servicio (DoS) contra productos de Amazon o AWS (o clientes de Amazon o AWS)
• Ataques físicos contra empleados, oficinas y centros de datos de Amazon o AWS
• Ingeniería social aplicada a empleados, contratistas, proveedores o prestadores de servicios de Amazon o AWS
• Publicar, transmitir, cargar, vincular o enviar malware deliberadamente
• Buscar vulnerabilidades que envíen mensajes no solicitados en gran escala (spam)

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Recibirá una respuesta no automática que confirme la recepción de su informe inicial en un plazo de 24 horas, actualizaciones puntuales y comprobaciones mensuales durante toda la interacción. Puede solicitar actualizaciones en cualquier momento y agradecemos el diálogo que aclare cualquier inquietud o coordinación de la divulgación.

Las actividades que no se consideraron una vulnerabilidad anteriormente también están fuera del ámbito del Programa de divulgación de vulnerabilidades de AWS. Llevar a cabo cualquiera de las actividades mencionadas anteriormente resultará en la descalificación del programa de manera permanente.

Si procede, AWS coordina con usted la notificación pública de cualquier vulnerabilidad validada. Si fuera posible, preferiríamos que nuestras comunicaciones públicas correspondientes se publicaran simultáneamente.

A efectos de proteger a nuestros clientes, AWS le solicita que no publique ni comparta información sobre una posible vulnerabilidad en ningún entorno público hasta que hayamos abordado la vulnerabilidad notificada e informado a los clientes en caso necesario. Además, con nuestro más sincero respeto, le pedimos que no publique ni comparta datos que pertenezcan a nuestros clientes. Tenga en cuenta que el tiempo necesario para mitigar una vulnerabilidad depende de la gravedad de esta y de los sistemas afectados.

Las notificaciones públicas de AWS aparecen en forma de boletines de seguridad, que se publican en el sitio web de seguridad de AWS. Los particulares, las empresas y los equipos de seguridad suelen publicar los avisos en sus propios sitios web y en otros foros. Cuando lo consideremos oportuno, incluiremos estos enlaces en los recursos de terceros de los boletines de seguridad de AWS.  

Creemos que la búsqueda de seguridad hecha de buena fe debe ofrecer un puerto seguro. Con el fin de establecer un puerto seguro para la investigación de seguridad y la notificación de vulnerabilidades, hemos adoptado el estándar Gold Standard Safe Harbor. Esperamos trabajar con investigadores de seguridad que compartan nuestra pasión por proteger a nuestros clientes.

Gold Standard Safe Harbor respalda la protección de las organizaciones y los piratas informáticos que realizan investigaciones de seguridad de buena fe. La “investigación de seguridad de buena fe” es acceder a un equipo únicamente con fines de probar, investigar o corregir de buena fe una falla o vulnerabilidad de seguridad, cuando dicha actividad se lleva a cabo de una manera diseñada para evitar cualquier daño a las personas o al público, y cuando la información derivada de la actividad se utiliza principalmente para promover la seguridad de la clase de dispositivos, máquinas o servicios en línea a los que pertenece el equipo al que se accede, o de quienes utilizan dichos dispositivos, máquinas, o servicios en línea.

Consideramos que la investigación de seguridad de buena fe es una actividad autorizada que está protegida contra acciones legales contradictorias por nuestra parte. Renunciamos a cualquier restricción relevante en nuestros Términos de servicio o Políticas de uso aceptable que entre en conflicto con el estándar de investigación de seguridad de buena fe que se describe aquí.

Esto significa que, en lo que respecta a las actividades realizadas mientras este programa esté activo, nosotros:

• No emprenderemos acciones legales en su contra ni interpondremos ninguna denuncia contra usted por llevar a cabo investigaciones de seguridad de buena fe, incluso por eludir las medidas tecnológicas que utilizamos para proteger las aplicaciones en cuestión.
• Tomaremos medidas para dar a conocer que realizó una investigación de seguridad de buena fe si otra persona emprende acciones legales en su contra.

Debe contactarnos para obtener una aclaración antes de emprender una conducta que, en su opinión, pueda ser incompatible con la investigación de seguridad de buena fe o que no esté contemplada en nuestra política.

Tenga en cuenta que no podemos autorizar la investigación de seguridad en infraestructuras de terceros y que ningún tercero está obligado por esta declaración de puerto seguro.

Tras haber enviado el informe, nos centraremos en validar la vulnerabilidad informada. Si se precisa de información adicional para validar o reproducir el problema, colaboraremos con usted para obtenerla. Cuando se haya completado la investigación inicial, se le enviarán los resultados junto con un plan de resolución y debate de divulgación.

Cabe tener en cuenta algunos aspectos sobre nuestro proceso:

1. Productos de terceros: si se observa que la vulnerabilidad afecta al producto de un tercero, avisaremos al propietario de la tecnología afectada. Seguiremos coordinando la comunicación entre usted y el tercero de que se trate. No obstante, no se revelará su identidad al tercero sin contar con su consentimiento previo.
2. Confirmación de no vulnerabilidades: si no se puede validar el problema o este no entra dentro de nuestro alcance, le informaremos.
3. Clasificación de vulnerabilidad: utilizaremos la versión 3.1 del sistema de clasificación de vulnerabilidades comunes (Common Vulnerability Scoring System, CVSS) para evaluar las posibles vulnerabilidades. La puntuación final ayuda a medir la gravedad del problema y a dar prioridad a nuestras respuestas. Para obtener más información sobre CVSS, consulte el sitio de NVD.

Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, le pedimos que:

• Siga las reglas, incluido el cumplimiento de esta política y de cualquier otro acuerdo relevante. Si hay alguna incoherencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política.
• Informe sobre cualquier vulnerabilidad que haya descubierto con prontitud.
• Evite violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos o dañar la experiencia del usuario.
• Utilice únicamente los canales mencionados anteriormente para hablar con nosotros respecto a la información sobre vulnerabilidades.
• Nos brinde un período de tiempo razonable a partir del informe inicial para resolver el problema antes de que lo divulgue públicamente.
• Realice pruebas únicamente en los sistemas incluidos en el alcance y respete los sistemas y actividades que estén fuera del alcance.
• Si una vulnerabilidad proporciona acceso no deseado a los datos: limite la cantidad de datos a los que acceda al mínimo requerido para demostrar de manera efectiva una prueba de concepto; deje de realizar las pruebas y presente un informe de inmediato si encuentra algún dato de usuario durante las pruebas, como información de identificación personal (PII), información de salud personal (PHI), datos de tarjetas de crédito o información de propiedad exclusiva.
• Interactúe únicamente con las cuentas de prueba de su propiedad o con el permiso explícito del titular de la cuenta.
  
• No participe en la extorsión.