Divulgación coordinada, respuesta transparente

SOMA9 opera infraestructura gestionada para empresas. La investigación de seguridad continua forma parte del servicio. Publicamos indicadores técnicos, coordinamos con la comunidad y damos la bienvenida a los reportes de investigadores independientes.

Reportar una vulnerabilidad

Si ha identificado una vulnerabilidad de seguridad que afecta a los servicios de SOMA9, queremos saberlo. Antes de remitir el reporte, consulte la Política de Divulgación de Vulnerabilidades para conocer el alcance, las cláusulas de safe harbour y la cronología de divulgación coordinada.

Canales de reporte

Compromisos

Acuse de recibo — ≤ 72 horas

Triaje y clasificación de gravedad — ≤ 7 días

Cadencia de actualizaciones — cada 30 días

Ventana de divulgación coordinada — 90 días

Reconocimiento al investigador — a solicitud

Safe harbour — documentado en la VDP

Recursos

[Política

Política de Divulgación de Vulnerabilidades

Investigación autorizada, alcance, safe harbour y cronología de divulgación coordinada.](/docs/legal/vulnerability-disclosure-policy.es.html) [RFC 9116

security.txt

Información de contacto de seguridad legible por máquina conforme a RFC 9116.](/.well-known/security.txt) [Reconocimiento

Hall of Fame

Investigadores que han realizado divulgación responsable de vulnerabilidades a SOMA9.](hall-of-fame.es.html) [Formulario

Enviar un reporte

Formulario web para envíos de vulnerabilidades, con vías cifradas con PGP y sin cifrar.](report.es.html)

Inteligencia de amenazas pública

SOMA9 publica indicadores de compromiso técnicos, reglas de detección y reportes posteriores a incidentes cuando ello favorece a la comunidad defensiva. La política de publicación se documenta en la Política de Divulgación de Vulnerabilidades, cláusula 4.

Herramientas de seguridad de código abierto publicadas por SOMA9: github.com/SOMA9-Cloud.

Fuera de alcance

Las siguientes clases de reporte no son elegibles para safe harbour y pueden cerrarse sin actuación adicional:

  • Software de terceros ejecutándose en cuentas de Cliente (reportar al fabricante).
  • Reportes basados exclusivamente en salida de escáner automático sin impacto demostrado.
  • Vulnerabilidades teóricas sin prueba de concepto.
  • Ingeniería social al personal o Clientes de SOMA9.
  • Ataques físicos a las instalaciones o personal de SOMA9.
  • Pruebas de denegación de servicio sin autorización escrita previa.

Contacto

  • Seguridad: security@soma9.cloud
  • Postal: SOMA9 Holdings, LLC. A la atención de Seguridad. 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos