Esta política de divulgación de vulnerabilidades describe cómo informar de manera responsable sobre posibles fallos de seguridad en nuestros servicios en la nube. Agradecemos los informes de investigadores de seguridad, clientes y socios, y nos comprometemos a colaborar con usted para tratar los hallazgos de forma rápida y transparente.

Esta política se aplica a:

• Plataforma SaaS entervo infinite
• Aplicaciones web y API bajo el dominio *.scheidt-bachmann.net
• Portal E-Receipt bajo el dominio *.receipt-parking.com

Fuera del alcance:

• Implementaciones On-Premise gestionadas por el cliente de entervo.core
• Servicios e integraciones de terceros que no son operados por Scheidt & Bachmann Parking Solutions
• Ataques de ingeniería social, spam, ataques físicos, pruebas de denegación de servicio (DoS/DDoS) o herramientas de escaneo automatizadas que provoquen interrupciones del servicio

Si no está seguro de si un sistema está incluido en el alcance, por favor contáctenos antes de comenzar las pruebas.

Si descubre una vulnerabilidad, por favor:

• Envíenos un correo electrónico a security@scheidt-bachmann.net
• Cifre los detalles sensibles con nuestra clave PGP.
• Proporcione información clara para reproducir el problema:
  • Producto, servicio o punto final de API afectado
  • Pasos para reproducir
  • Impacto potencial
  • Prueba de concepto (si es seguro)
• No divulgue públicamente la vulnerabilidad hasta que haya sido resuelta en coordinación con nosotros.

Nuestros compromisos

Cuando informe una vulnerabilidad de buena fe y conforme a esta política, nosotros:

• Confirmaremos la recepción de su informe en un plazo de 5 días hábiles
• Proporcionaremos una primera evaluación o actualización del estado en un plazo de 10 días hábiles
• Trabajaremos con usted en un calendario de divulgación coordinada (normalmente dentro de 90 días, ajustado según la gravedad y la complejidad de la corrección)
• Le daremos reconocimiento en nuestra página de Agradecimientos, si lo desea
• No emprenderemos acciones legales por investigaciones realizadas de buena fe y dentro del alcance

Reglas de participación

• No acceda ni intente acceder a datos de clientes.
• No interrumpa los servicios ni degrade su disponibilidad.
• No utilice herramientas de escaneo automatizadas sin coordinación previa.
• Las pruebas deben limitarse a cuentas que usted posea o cuentas de prueba proporcionadas explícitamente por nosotros.
• No explote una vulnerabilidad más allá de lo necesario para demostrar su existencia.

Safe Harbor

Consideramos que las actividades de investigación de seguridad realizadas bajo esta política están autorizadas. Si su investigación sigue estas reglas, no iniciaremos acciones legales contra usted.
Este Safe Harbor no se extiende a:

• Acciones maliciosas, explotadoras o que causen daño
• Violaciones de leyes no relacionadas con la investigación de seguridad

Recompensas

Actualmente, Scheidt & Bachmann Parking Solutions no opera un programa formal de recompensas por errores (bug bounty). Sin embargo, valoramos los esfuerzos de los investigadores de seguridad y podemos, a nuestra discreción, ofrecer compensación u otro reconocimiento por informes de alto impacto. Todos los informes válidos son elegibles para ser mencionados en nuestra página de Agradecimientos.

Contacto

Correo electrónico: security@scheidt-bachmann.net

Clave PGP: www.scheidt-bachmann.net/.well-known/pubkey.txt