Política de divulgación de vulnerabilidades
TAP acoge con satisfacción la divulgación responsable de vulnerabilidades. Esta política describe las reglas que la rigen y cómo enviarnos un informe. Tenga en cuenta que TAP puede cambiar esta política de vez en cuando.
Usted, un investigador de seguridad dispuesto a contribuir al descubrimiento de vulnerabilidades de seguridad en nuestras aplicaciones, debe leer esta política antes de participar en dicha actividad y seguir las reglas aquí descritas.
- TAP no ofrece compensación financiera por la comunicación de vulnerabilidades.
- TAP puede permitir que se le cite como referencia en las condiciones mencionadas en las normas de publicación.
- Le pedimos que no revele la vulnerabilidad antes de que TAP confirme su resolución.
- Le solicitamos que obtenga nuestra aprobación por escrito para la divulgación.
- Le pedimos que omita o elimine información confidencial en la divulgación.
- Los siguientes dominios: www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
- Aplicación móvil TAP Air Portugal (iOS y Android).
- Cualquier dominio no incluido específicamente en el alcance.
- Cualquier otra aplicación, ya sea móvil, web u otra no incluida en el ámbito de aplicación.
- Vulnerabilidades en servicios integrados de otras empresas.
- Escaneos automatizados..
- Pruebas de rendimiento o estrés y ataques disruptivos, incluidas pruebas de denegación de servicio (DoS o DDoS).
- Ataques a empleados o usuarios de TAP, incluyendo ingeniería social, extorsión, spam o phishing.
- Compromisos de seguridad física.
- Introducción de puertas traseras o cualquier acceso persistente.
- Introducción de cambios en sistemas o aplicaciones.
- Modificar o eliminar datos en sistemas o aplicaciones.
- Resultados de escaneos automatizados.
- Mejores prácticas de seguridad, como cabeceras de seguridad, indicadores de cookies.
- Versiones o cifrados SSL/TLS inseguros.
- Problemas de SPF, DKIM y DMARC.
- Vulnerabilidades con mínimo impacto.
- Una vulnerabilidad ya notificada o detectada por los propios medios de TAP.
- Actuar de buena fe y cumplir con la legislación aplicable.
- No vulnerar la privacidad, integridad o disponibilidad de los datos.
- No extraer datos.
- Informar de inmediato de cualquier vulnerabilidad descubierta únicamente a TAP.
- Realizar las actividades de prueba solo en la medida necesaria para confirmar la vulnerabilidad. Deténgase en cuanto pueda demostrar su existencia.
- Si no está seguro de que las actividades de prueba no causarán daños a TAP, detenga las pruebas y póngase en contacto con nosotros.
- Proporciónenos la información suficiente para reproducir la vulnerabilidad.
- Concédanos un plazo de tiempo razonable para analizar, reproducir y corregir la vulnerabilidad.
- Proporciónenos el informe en inglés o portugués.
- Envíenos un correo electrónico utilizando esta dirección de correo electrónico: [email protected].
- Le recomendamos encarecidamente que cifre el informe utilizando nuestra clave pública PGP [publicada aquí].
- Responder oportunamente y acusar recibo de su informe.
- Trabajar con usted para comprender y validar sus hallazgos, así como discutir los problemas.
- Desarrollar medidas para subsanar las vulnerabilidades descubiertas de manera oportuna.
- Informarle cuando se corrija la vulnerabilidad.
TAP solo utilizará sus datos personales para ponerse en contacto con usted en relación con su informe de vulnerabilidad.
Sin embargo, cuando sea necesario, podremos revelar sus datos personales a nuestros socios comerciales, pero siempre de conformidad con la legislación vigente en materia de datos personales.
Conservaremos sus datos personales durante un periodo máximo de 1 año una vez finalizado el proceso.
Sin embargo, cuando sea necesario, podremos revelar sus datos personales a nuestros socios comerciales, pero siempre de conformidad con la legislación vigente en materia de datos personales.
Conservaremos sus datos personales durante un periodo máximo de 1 año una vez finalizado el proceso.