Programa de divulgación responsable

Cuando las correcciones de vulnerabilidades están listas, se envían a los clientes a través de nuestro ciclo de parches regulares.

Resumen

ServiceNow se toma la seguridad muy en serio. Si descubres una vulnerabilidad en nuestros sistemas, productos o infraestructura de red, ServiceNow agradece tu ayuda a la hora de transmitirlo a nuestra empresa de forma responsable. ServiceNow no aprueba los intentos de auditar de forma activa nuestra infraestructura. Reconocemos que las vulnerabilidades se descubren en ocasiones de forma accidental. El siguiente contenido describe las prácticas recomendadas para enviar esa información de vulnerabilidad.

Ámbito

Ten en cuenta que NotServiceNow no aprueba los intentos de auditar de forma activa nuestra infraestructura.

Este documento se aplica a las vulnerabilidades técnicas de los productos, servicios y sistemas propiedad de ServiceNow. Al informar de vulnerabilidades, ten en cuenta la situación de ataque o capacidad de vulneración, así como el impacto de seguridad del bug. Los siguientes dominios son ejemplos de nuestros activos.

*.servicenow.com
*.service-now.com

Fuera del ámbito

  • Dominios/subdominios fuera del ámbito de las pruebas aprobadas.
  • Vulnerabilidades relacionadas con los ataques por denegación de servicio (DoS).
  • Vulnerabilidades descubiertas por medio de herramientas o exploraciones automatizadas.
  • Vulnerabilidades que requieren el acceso físico al equipo o dispositivo de un usuario.
  • Vulnerabilidades en sitios de socios de ServiceNow.
  • Técnicas de ingeniería social o spam.
  • Ataques físicos contra oficinas o centros de datos de ServiceNow.


Directrices

Sigue las directrices que se indican a continuación para revelar las vulnerabilidades.

  • Informa de cualquier problema de seguridad potencial lo antes posible. ServiceNow hará todo lo posible por resolver rápidamente el problema.

  • Proporciona suficientes detalles para reproducir la vulnerabilidad, incluida la prueba de concepto.

  • Se recomienda el uso de ReproNow para hacer una demostración de la reproducibilidad del problema, pero no es obligatorio.

  • No divulgues ningún problema al público o a terceros hasta que ServiceNow lo haya resuelto.

  • Realiza un esfuerzo de buena fe para evitar infracciones de privacidad, destrucción de datos e interrupción o degradación de nuestro servicio. Interactúa únicamente con las cuentas de tu propiedad o con permiso explícito del titular de la cuenta.

  • Censura cualquier expresión o imagen que pueda identificar al programa o los clientes de ServiceNow a partir de la información sobre una vulnerabilidad corregida.

  • No participes en pruebas disruptivas (como DoS) ni en cualquier acción que pudiera afectar a la confidencialidad, la integridad o la disponibilidad de la información y los sistemas.

  • No participes en actividades de ingeniería social ni phishing de clientes o empleados.

  • No solicites compensación por tiempo o materiales, ni por vulnerabilidades descubiertas a través del Programa de divulgación responsable.


Envíos de vulnerabilidad

Para informar de una vulnerabilidad, envía un informe (incluida una prueba de concepto) por correo electrónico a disclosure@service-now.com. El asunto correo electrónico debe incluir las palabras clave “informe”, “vulnerabilidad” o “bug”. ServiceNow intentará revisar y responder a tu informe en un plazo de 5 días hábiles a partir del envío.

Referencias

 

Gracias por ayudar a proteger ServiceNow y a nuestros usuarios.

Gracias

Gracias por enviarnos su solicitud. Un representante de ServiceNow se pondrá en contacto con usted en las próximas 48 horas.

form close button

Ponte en contacto con nosotros

Me gustaría recibir notificaciones sobre los próximos eventos, productos y servicios de ServiceNow. Sé que puedo anular mi suscripción en cualquier momento.

  • Al enviar este formulario, confirmo que he leído y acepto la Declaración de privacidad.