Declaración de Divulgación de Vulnerabilidades Técnicas

Programa general de gestión de vulnerabilidades técnicas

NTT DATA, Inc. está comprometida con el mantenimiento de la seguridad e integridad de nuestros activos digitales. Invertimos continuamente en medidas de seguridad integrales y auditorías regulares para proteger estos activos. Si bien reconocemos el valor de la colaboración comunitaria en seguridad a través de programas como bug bounty, nuestro enfoque se centra en utilizar experiencia interna y contratada para mantener y mejorar nuestro programa de seguridad.

Por lo tanto, no compensamos a individuos u organizaciones por identificar vulnerabilidades de seguridad, sean potenciales o confirmadas. Cualquier solicitud de compensación monetaria u otra forma de retribución constituirá una violación de los términos de nuestro Programa de Divulgación Responsable.

Cómo reportar una posible vulnerabilidad de seguridad

Si has descubierto una posible vulnerabilidad de seguridad en NTT DATA, Inc. o en alguno de nuestros servicios o productos, nos gustaría saber de ti y te animamos a divulgarla lo antes posible de manera responsable.

Por favor, repórtala a través de nuestro sitio web e incluye la mayor cantidad de información posible, como:

• Una explicación de la posible vulnerabilidad de seguridad.
• Una lista de productos y servicios que puedan estar afectados (si es posible).
• Los pasos necesarios para reproducir la vulnerabilidad.
• Los nombres de las cuentas de prueba que haya creado (cuando corresponda).
• Tu información de contacto.

¿Qué sucede después?

Nos comprometemos a revisar todos los informes de divulgación responsable. Te pedimos que mantengas la confidencialidad y no hagas pública tu investigación hasta que hayamos completado nuestra investigación y, si es necesario, hayamos solucionado o mitigado la posible vulnerabilidad de seguridad.

Te solicitamos que no divulgues públicamente los detalles de las posibles vulnerabilidades de seguridad sin nuestro consentimiento explícito por escrito.

Sujeto a cualquier requisito regulatorio y legal, todos los informes se mantendrán estrictamente confidenciales, al igual que los detalles de la posible vulnerabilidad de seguridad y la identidad de los investigadores involucrados en el reporte.

Si las posibles vulnerabilidades de seguridad se descubren y reportan estrictamente de acuerdo con nuestro Programa de Divulgación Responsable, no tomaremos acciones legales contra los investigadores de seguridad en relación con el descubrimiento y reporte de una posible vulnerabilidad de seguridad.

En caso de cualquier incumplimiento, nos reservamos todos nuestros derechos legales.

Los siguientes tipos de investigación están estrictamente prohibidos:

• Acceder o intentar acceder a cuentas o datos que no te pertenezcan.
• Cualquier intento de modificar o destruir datos.
• Ejecutar o intentar ejecutar un ataque de denegación de servicio (DoS).
• Enviar o intentar enviar correos electrónicos no solicitados o no autorizados, spam u otros mensajes no deseados.
• Ingeniería social dirigida a empleados, contratistas, clientes u otras partes relacionadas con NTT DATA, incluyendo (pero no limitado a) acercarse a cualquier individuo de manera física o electrónica, por ejemplo, a través de phishing.
• Intentos físicos contra nuestras propiedades o centros de datos, incluyendo (pero no limitado a) centros de datos físicos, infraestructura alojada y ubicaciones de oficinas.
• Publicar, transmitir, cargar, vincular, enviar o almacenar malware, virus u otros programas dañinos similares que puedan impactar nuestros servicios, productos, clientes o cualquier otra parte.
• Probar sitios web, aplicaciones o servicios de terceros que se integren con nuestros servicios o productos.
• Utilizar escáneres automáticos de vulnerabilidades.
• Exfiltrar datos bajo cualquier circunstancia.
• Cualquier actividad que viole la ley.
• Nos reservamos el derecho de tomar acciones legales contra cualquier persona que realice alguna de las actividades mencionadas.

Reconocimiento de vulnerabilidades reportadas

Una vez completada la investigación, podremos, a nuestra discreción y sujeto al consentimiento de los investigadores, reconocer públicamente a los investigadores involucrados. Sin embargo, no proporcionaremos ninguna forma de compensación.

Si un informe se considera duplicado o ya es conocido por nosotros, no será elegible para reconocimiento público.

Reporta una Vulnerabilidad Técnica

Si has descubierto una posible vulnerabilidad de seguridad en NTT DATA, Inc. o en alguno de nuestros servicios o productos, nos gustaría saber de ti y te animamos a divulgarla lo antes posible de manera responsable.