Informes de vulnerabilidad

• Amazon Web Services (AWS): si desea informar de una vulnerabilidad o tiene alguna pregunta sobre la seguridad en relación con servicios en la nube de AWS o proyectos de código abierto, envíe la información a aws-security@amazon.com. Si desea proteger el contenido de su envío, puede utilizar nuestra clave PGP.
• Ventas en Amazon.com: si tiene alguna pregunta sobre la seguridad en relación con las ventas de Amazon.com, Seller Central, Amazon Payments u otras cuestiones relacionadas como pedidos sospechosos, cargos no válidos en la tarjeta de crédito, correos electrónicos sospechosos o informes de vulnerabilidad, visite nuestra página web Seguridad para ventas.
• Política de soporte al cliente de AWS para las pruebas de penetración: los clientes de AWS pueden realizar evaluaciones de seguridad o pruebas de intrusión en su infraestructura de AWS sin aprobación previa para los servicios indicados. La solicitud de información de otros eventos simulados debe entregarse mediante el formulario de Eventos Simulados. Para los clientes que operan en las regiones de AWS en China (Ningxia y Pekín), utilice esta solicitud de simulación de eventos.
• Abuso de AWS: si sospecha que los recursos de AWS (como una instancia de EC2 o un bucket de S3) se utilizan para actividades sospechosas, puede informar de ello al equipo AWS Abuse Team mediante el formulario de informe de abuso de Amazon AWS o contactar con abuse@amazonaws.com.
• Información de cumplimiento AWS: el acceso a los informes de cumplimiento AWS están disponibles mediante AWS Artifact. Si tiene preguntas adicionales relacionadas con el cumplimiento de AWS, contacte mediante el formulario de ingreso.

A fin de poder responder a su informe de manera más eficiente, proporcione cualquier material de respaldo (código de la prueba de concepto, resultado de una herramienta, etc.) que podría ser útil para ayudarnos a comprender la naturaleza y la gravedad de la vulnerabilidad.

La información que comparta con AWS como parte de este proceso es confidencial dentro de AWS. AWS solo compartirá esta información con un tercero si la vulnerabilidad que informa resulta afectar al producto de un tercero, en cuyo caso compartiremos esta información con el autor o fabricante del producto del tercero. De otro modo, AWS solo compartirá esta información según usted lo permita.

AWS revisará el informe enviado y le asignará un número de seguimiento. A continuación, le responderemos, confirmaremos el recibo del informe, y le explicaremos los próximos pasos del proceso.

Las siguientes actividades están fuera del alcance del Programa de informe de vulnerabilidades de AWS. Llevar a cabo cualquiera de las siguientes actividades resultará en la descalificación del programa de manera permanente.

• Dirigirse a bienes de clientes de AWS o a sitios ajenos de AWS alojados en nuestra infraestructura.
• Cualquier vulnerabilidad obtenida al comprometer las cuentas de clientes o empleados de AWS.
• Cualquier ataque de denegación de servicio (DoS) contra productos o clientes de AWS.
• Ataques físicos contra empleados de AWS, oficinas y centros de datos.
• Ingeniería social aplicada a empleados, contratistas, proveedores o proveedores de servicios de AWS.
• Publicar, transmitir, cargar, vincular o enviar malware deliberadamente.
• Buscar vulnerabilidades que envíen mensajes no solicitados en gran escala (spam).

AWS se compromete a responderle y a mantenerlo informado de nuestro progreso. Recibirá una respuesta no automática que confirme la recepción de su informe inicial en un plazo de 24 horas, actualizaciones puntuales y comprobaciones mensuales durante toda la interacción. Puede solicitar actualizaciones en cualquier momento y agradecemos el diálogo que aclare cualquier inquietud o coordinación de la divulgación.

Si procede, AWS coordina con usted la notificación pública de cualquier vulnerabilidad validada. Si fuera posible, preferiríamos que nuestras comunicaciones públicas correspondientes se publicaran simultáneamente.

A efectos de proteger a nuestros clientes, AWS le pide que no publique ni comparta información sobre alguna posible vulnerabilidad que pueda afectar al público hasta que hayamos investigado, respondido y solucionado la vulnerabilidad comunicada y, en última instancia, después de haber informado a los clientes si lo estimamos conveniente. Además, con nuestro más sincero respeto, le pedimos que no publique ni comparta datos que pertenezcan a nuestros clientes. Abordar una vulnerabilidad de la que se ha informado tomará tiempo, y el plazo dependerá de la severidad de la vulnerabilidad y los sistemas afectados.

Las notificaciones públicas de AWS aparecen en forma de boletines de seguridad, que se publican en el sitio web de seguridad de AWS. Los particulares, las empresas y los equipos de seguridad suelen publicar los avisos en sus propios sitios web y en otros foros. Cuando lo consideremos oportuno, incluiremos estos enlaces en los recursos de terceros de los boletines de seguridad de AWS.  

AWS cree que la búsqueda de seguridad realizada de buena fe debe brindar un puerto seguro. Con el fin de establecer un puerto seguro para la investigación de seguridad y la notificación de vulnerabilidades, AWS Security ha adoptado los términos básicos de disclose.io, específicamente “Puerto seguro” y “Nuestras expectativas”. Esperamos trabajar con investigadores de seguridad que compartan nuestra pasión por proteger a los clientes de AWS.

En consecuencia, consideramos que las investigaciones de seguridad realizadas en virtud de esta política están:

• Autorizadas en relación con cualquier ley antipiratería aplicable, y no iniciaremos ni apoyaremos acciones legales en su contra por infracciones accidentales y de buena fe de esta política.
• Autorizadas en relación con cualquier ley antielusión pertinente, y no presentaremos ninguna reclamación en su contra por eludir los controles tecnológicos.
• Exentas de las restricciones en nuestros Términos de servicio o Política de uso aceptable que puedan interferir con la realización de investigaciones de seguridad, y renunciamos a esas restricciones de forma limitada.
• Realizadas de acuerdo a las leyes aplicables, son útiles para la seguridad general de Internet y se han llevado a cabo de buena fe.

Como siempre, se espera que usted cumpla con todas las leyes aplicables. Si un tercero inicia una acción legal en su contra y usted ha cumplido con esta política, tomaremos las medidas necesarias para que se sepa que sus acciones se llevaron a cabo de conformidad con esta política.

Si en algún momento tiene dudas o no está seguro de si su investigación de seguridad es coherente con esta política, envíe un informe a través de uno de los canales mencionados anteriormente en “Informe de sospechas de vulnerabilidades” antes de continuar.

Tenga en cuenta que el puerto seguro se aplica solo a las reclamaciones legales bajo el control de la organización que participa en esta política y que esta política no vincula a terceros independientes.

Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, le pedimos que:

• Siga las reglas, incluido el cumplimiento de esta política y de cualquier otro acuerdo relevante. Si hay alguna incoherencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política.
• Informe sobre cualquier vulnerabilidad que haya descubierto con prontitud.
• Evite violar la privacidad de otros, interrumpir nuestros sistemas, destruir datos o dañar la experiencia del usuario.
• Utilice únicamente los canales mencionados anteriormente para hablar con nosotros respecto a la información sobre vulnerabilidades.
• Nos brinde un período de tiempo razonable a partir del informe inicial para resolver el problema antes de que lo divulgue públicamente.
• Realice pruebas únicamente en los sistemas incluidos en el alcance y respete los sistemas y actividades que estén fuera del alcance.
• Si una vulnerabilidad proporciona acceso no deseado a los datos: limite la cantidad de datos a los que acceda al mínimo requerido para demostrar de manera efectiva una prueba de concepto; deje de realizar las pruebas y presente un informe de inmediato si encuentra algún dato de usuario durante las pruebas, como información de identificación personal (PII), información de salud personal (PHI), datos de tarjetas de crédito o información de propiedad exclusiva.
• Interactúe únicamente con las cuentas de prueba de su propiedad o con el permiso explícito del titular de la cuenta.
• No participe en la extorsión.