X
Utilizamos cookies para garantizar que le ofrecemos la mejor experiencia en nuestro sitio web. Al continuar navegando en nuestro sitio, aceptas nuestro uso de cookies.




Divulgación de vulnerabilidades de Gallagher Animal Management


Valoramos la investigación responsable en materia de seguridad y los comentarios de los clientes. Si cree que ha encontrado una posible vulnerabilidad de seguridad en alguna de las soluciones de Gallagher Animal Management, infórmenos para que podamos solucionarla. Proporcionamos una vía clara para informar de ello a través de este formulario, comprometerse a comunicarse oportunamente y ofrecer un refugio de buena fe para seguir estas directrices.  
 
Si una vulnerabilidad de seguridad reportada afecta a un producto de terceros utilizado en nuestras soluciones, coordinaremos con ese proveedor mientras protegemos su información. 

Definiciones


Vulnerabilidad: comportamiento funcional de un producto o servicio que infringe una política de seguridad implícita o explícita. 
Divulgación: acto de proporcionar inicialmente información sobre una vulnerabilidad a una parte que se cree que no tenía conocimiento previo de la misma. 
Coordinación: conjunto de actividades que incluyen la identificación y participación de las partes interesadas, la mediación, la comunicación y otras tareas de planificación en apoyo de la divulgación de vulnerabilidades. 
Remediación: cambio realizado en un producto o servicio para eliminar o mitigar una vulnerabilidad. 
Aviso: documento o mensaje destinado a informar a otros sobre una vulnerabilidad, incluyendo, si es posible, cómo identificar y remediar los sistemas vulnerables. 

El programa de divulgación de vulnerabilidades se aplica a las soluciones de software de Gallagher Animal Management. 

Métodos de divulgación 


Preferimos que nos comunique las vulnerabilidades de seguridad de forma privada mediante rellenar este formulario. Podemos optar por publicar los detalles de la vulnerabilidad; sin embargo, esto se hace a discreción de Gallagher Animal Management, no del investigador de seguridad ni del cliente. Esto significa que algunas vulnerabilidades pueden no hacerse públicas nunca.  

En este momento, no aceptamos denuncias anónimas; valoramos la colaboración. Tenga en cuenta que el anonimato limita la participación en las discusiones sobre divulgación.

 

Lo que no debes hacer 


Gallagher Animal Management considera que las siguientes actividades son potencialmente perjudiciales o no contribuyen a la seguridad de nuestros productos específicos. 

  • Ingeniería social, incluido el phishing.  
  • Ataques de fuerza bruta.  
  • Ataques de denegación de servicio (DoS/DDoS).  
  • Acceder a datos o información que no le pertenecen.   
  • Destruir o alterar datos o información que no le pertenezcan.  
  • Publicar o compartir con otras personas vulnerabilidades o cualquier información personal que haya obtenido. No queremos que otras personas intenten aprovechar la vulnerabilidad.   
  • Compartir o publicar cualquier información que haya obtenido de Gallagher Animal Management durante este proceso, ya que podría causar daños a personas y podría considerarse un incumplimiento y exponerlo a responsabilidades.  
  • Manipulación indebida del hardware de Gallagher. 

Tipos de vulnerabilidades fuera del alcance 


Gallagher Animal Management considera que las siguientes clases de vulnerabilidad quedan fuera de su ámbito de aplicación: 

  • Mensajes de error detallados sin impacto significativo.
  • Problemas relacionados con versiones de navegador no compatibles.
  • Métodos de solicitud HTTP inseguros o faltantes.
  • Uso de bibliotecas con vulnerabilidades conocidas en contextos no explotables.
  • Clickjacking sin impacto demostrado.
  • Problemas con registros SPF/DKIM/DMARC.  

Qué decirnos 


Por favor, proporcione toda la información que pueda en este formulario. Si necesita ayuda, envíenos un correo electrónico a am.techsupport@gallagher.com

En el formulario, por favor incluya: -  

  • Sus datos de contacto (nombre, dirección de correo electrónico, organización, función: cliente/investigador de seguridad). 
  • Incluya instrucciones claras y detalladas, así como cualquier código de prueba de concepto (PoC) relevante que demuestre cómo reproducir la vulnerabilidad. Si necesitamos más detalles para verificar o replicar su hallazgo, nos pondremos en contacto con usted para obtener aclaraciones.
  • Cualquier observación inusual o que no se considere normal antes del incidente.
  • Producto y versiones afectados.
  • Configuraciones afectadas.
  • Si se ha expuesto información personal.
    • Elimine cualquier información personal antes de informar. 
    • ¿Qué pasó con la información personal expuesta?  
  • Si la vulnerabilidad se ha compartido con otras personas o se ha publicado.
  • Cualquier referencia o lectura adicional que pueda ser apropiada.
  • Recomendaciones sobre cómo se podría mitigar o resolver el problema.
  • Asistencia para volver a probar el problema una vez que se haya implementado la solución. 
     

Lo que haremos 

 

  • Acusaremos recibo de su correo electrónico en un plazo de 5 días hábiles. 
  • Revisaremos el informe que ha presentado y validaremos sus conclusiones. 
  • Nos pondremos en contacto con usted a través de la dirección de correo electrónico que nos ha facilitado para comunicarle los resultados de nuestra investigación y las medidas que hayamos tomado. Si nos ha proporcionado pasos para resolver el problema, los revisaremos y los tendremos en cuenta como parte de nuestra respuesta. 
  • Priorizaremos las soluciones en función de su gravedad y riesgo; algunas soluciones pueden depender de terceros y tardar más tiempo. Le proporcionaremos actualizaciones periódicas hasta el cierre del caso.  
  • Considere la posibilidad de solicitar ayuda para volver a probar el problema una vez que se haya implementado la solución (si es necesario). 
  • Actualmente no contamos con un programa de recompensa económica por la divulgación de vulnerabilidades; cuando un informe sea novedoso, esté dentro del ámbito de aplicación y haya seguido estas directrices, es posible que le ofrezcamos un obsequio como muestra de agradecimiento, sujeto a disponibilidad y a la legislación aplicable.  

Puerto seguro 

 

  • Gallagher Animal Management reconoce y agradece el importante papel que desempeñan los investigadores de seguridad independientes y nuestros clientes a la hora de ayudar a mantener la seguridad de nuestras soluciones.  
  • No emprenderemos acciones legales ni recurriremos a las autoridades policiales únicamente por informarnos de una vulnerabilidad de seguridad, siempre que actúes de buena fe, cumplas con esta directriz y evites daños o interrupciones.  
  • Cuando nos informe de una vulnerabilidad de seguridad, iniciaremos los pasos descritos en la sección «Qué haremos». Durante este proceso de divulgación, gestionaremos toda la información confidencial de forma estrictamente confidencial y seguiremos el principio de necesidad de conocerla a nivel interno. Del mismo modo, le pedimos que: -  
    • Mantenga una estricta confidencialidad. No comparta la vulnerabilidad con nadie más a menos que le hayamos dado nuestra autorización por escrito. Si cree que es necesario informar a otra persona, envíe un correo electrónico a am.techsupport@gallagher.com y legal@gallagher.com y un administrador de seguridad de la información autorizado de Gallagher o un miembro del equipo jurídico se pondrá en contacto con usted.   
    • Si necesita alguna aclaración sobre estas directrices, envíenos un correo electrónico a am.techsupport@gallagher.com 
    • Por favor, comprenda que si la vulnerabilidad de seguridad involucra a otro proveedor que no sea Gallagher Animal Management, no podemos autorizar la investigación de seguridad en su nombre ni renunciar a sus derechos; ese tercero puede determinar si emprenderá acciones legales.   
    • Cumpla con todas las leyes y normativas aplicables.  
    • Por favor, contáctenos en am.techsupport@gallagher.com antes de realizar cualquier acción que pueda ser incompatible con esta directriz o no estar contemplada en ella. Podemos denegar la protección de puerto seguro a aquellas actividades que sean maliciosas, imprudentes, fuera de lugar o que incumplan la normativa, y nos reservamos el derecho a determinar si una infracción de esta directriz es accidental o de buena fe.  

Privacidad y protección de datos 


Trataremos cualquier información personal que figure en su informe de conformidad con nuestra declaración de privacidad y las leyes aplicables en materia de privacidad y protección de datos. Cuando lo exija la ley, notificaremos a la autoridad competente y a las personas afectadas. 

Cambios en esta directriz 

 

Podemos actualizar esta guía. Cuando lo hagamos, publicaremos la nueva versión en esta página.  

Si desea aclarar cualquier duda, envíenos un correo electrónico a am.techsupport@gallagher.com.

 

Para informarnos sobre una vulnerabilidad que haya descubierto, complete el siguiente formulario

Sus datos de contacto

¿Qué vulnerabilidad potencial ha identificado?

Al enviar este formulario, usted da su consentimiento para que Gallagher Animal Management almacene su información personal durante el tiempo que sea necesario para cumplir con los fines aprobados y ponerse en contacto con usted. Su información será recopilada y almacenada de forma segura por Gallagher Group Limited, con sede en Nueva Zelanda, y podrá ser compartida con el resto del grupo Gallagher según sea necesario. Para obtener información detallada sobre cómo utilizamos y gestionamos su información personal, sus derechos de acceso, rectificación o eliminación de su información personal, y cómo ponerse en contacto con nosotros en relación con su información personal, consulte nuestra Declaración de privacidad.