Buscar
Cierra este cuadro de búsqueda.
es_MX Spanish
es_MX Spanish en_US English
es_MX Spanish
es_MX Spanish en_US English
Buscar
Cierra este cuadro de búsqueda.
Buscar
Cierra este cuadro de búsqueda.

Política de divulgación de vulnerabilidades

Holy Cross Energy

Política de divulgación de vulnerabilidades

2 de octubre de 2024

Introducción

La seguridad e integridad de los sistemas y datos de Holy Cross Energy es una prioridad en Holy Cross Energy (HCE). HCE se compromete a garantizar la seguridad del público estadounidense mediante la protección de su información. Esta política tiene como objetivo brindarles a los investigadores de seguridad pautas claras para realizar actividades de descubrimiento de vulnerabilidades y transmitirles nuestras preferencias sobre cómo enviarnos las vulnerabilidades descubiertas.  

Esta política describe ¿Qué sistemas y tipos de investigación? están cubiertos por esta póliza, Cómo enviarnos informes de vulnerabilidad y cuánto tiempo Pedimos a los investigadores de seguridad que esperen antes de revelar públicamente las vulnerabilidades.

Le animamos a que se ponga en contacto con nosotros para informarnos sobre posibles vulnerabilidades en nuestros sistemas.

Autorización

Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada y trabajaremos con usted para comprender y resolver el problema rápidamente, y HCE no recomendará ni emprenderá acciones legales relacionadas con su investigación. Si un tercero inicia acciones legales en su contra por actividades que se llevaron a cabo de acuerdo con esta política, le daremos a conocer esta autorización.

Pautas

Según esta política, “investigación” significa actividades en las que usted:

  • Notifíquenos lo antes posible después de descubrir un problema de seguridad real o potencial.
  • Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
  • Utilice exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para comprometer o exfiltrar datos, establecer un acceso persistente a la línea de comandos ni utilizar el exploit para cambiar a otros sistemas.
  • Danos un tiempo razonable para resolver el problema antes de revelarlo públicamente.
  • No envíe un gran volumen de informes de baja calidad.

Una vez que haya establecido que existe una vulnerabilidad o encuentre datos confidenciales (incluida información de identificación personal, información financiera o información de propiedad o secretos comerciales de cualquier parte), debe detener su prueba, notificarnos de inmediato y no revelar estos datos a nadie más.

Métodos de prueba

Los siguientes métodos de prueba no están autorizados:

  • Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que afecten el acceso o dañen un sistema o datos
  • Pruebas físicas (por ejemplo, acceso a la oficina, puertas abiertas, tailgating), ingeniería social (por ejemplo, phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica
  • Desfiguración o alteración de sitios web
  • Extorsión de cualquier tipo mediante solicitud de dinero o amenaza con revelar información.
  • Cree una cantidad irrazonable de cuentas para realizar pruebas en aplicaciones y servicios.

Alcance

Antes de agregar un sistema o servicio al alcance de su investigación, asegúrese de que tiene permiso o autorización para realizar pruebas de seguridad utilizando ese sistema o servicio. Por ejemplo, si utiliza un proveedor de servicios administrados o software como servicio, asegúrese de confirmar que el proveedor ha autorizado explícitamente dichas pruebas, por ejemplo, confirmando que dicha autorización existe en el contrato de su agencia con el proveedor o que se detalla en su política disponible públicamente. En caso contrario, deberá trabajar con el proveedor para obtener una autorización explícita. Si no es posible obtener la autorización del proveedor, no podrá incluir esos sistemas o servicios en el alcance de su investigación.

Esta política se aplica a los siguientes sistemas y servicios:

  • holycross.com
  • ebill.holycross.com
  • vpn1.holycross.com
  • www.gwprtg1.holycross.com

Cualquier servicio no expresamente enumerado anteriormente, como como cualquier servicio conectado, quedan excluidos del ámbito de aplicación y no están autorizados para realizar pruebas. Además, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del alcance de esta política y deben informarse directamente al proveedor de acuerdo con su política de divulgación (si corresponde). Si no está seguro de si un sistema está dentro del alcance o no, contáctenos a security@holycross.com antes de comenzar su investigación.

Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles a través de Internet, es nuestro deseo y expectativa que la investigación y las pruebas activas solo se realicen en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema en particular que no está dentro del alcance y que usted cree que merece ser probado, comuníquese con nosotros para analizarlo primero. Ampliaremos el alcance de esta política con el tiempo.

Informar sobre una vulnerabilidad

La información de vulnerabilidad enviada de conformidad con esta política se utilizará únicamente con fines defensivos, para mitigar o remediar vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afecten a todos los usuarios de un producto o servicio y no solo a HCE, podemos compartir su informe con la Agencia de Seguridad de Infraestructura y Ciberseguridad, donde se manejará de acuerdo con sus normas. proceso coordinado de divulgación de vulnerabilidadesNo compartiremos su nombre ni información de contacto sin permiso expreso.

Holy Cross Energy acepta informes de vulnerabilidad en Este formulario o vía seguridad@holycross.com.

Los informes pueden enviarse de forma anónima. Si comparte información de contacto, haremos todo lo posible para acusar recibo de su informe dentro de los tres (3) días hábiles siguientes.

No admitimos correos electrónicos cifrados con PGP. Para información especialmente confidencial, envíela a través de nuestro Web HTTPS forma.

Lo que nos gustaría ver de usted

Para ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:

  • Describe la ubicación donde se descubrió la vulnerabilidad y el impacto potencial de su explotación.
  • Ofrezca una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla son útiles).
  • Estar en inglés, si es posible.

Qué puedes esperar de nosotros

Cuando elige compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la manera más abierta y rápida posible.

  • Dentro de 3 días hábiles, le confirmaremos que hemos recibido su informe.
  • En la medida de lo posible, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de remediación, incluidos los problemas o desafíos que puedan retrasar la resolución.
  • Mantendremos un diálogo abierto para discutir los temas.

Recursos de seguridad adicionales

Agencia de Seguridad Cibernética y de Infraestructura (CISA)

Preguntas

Las preguntas sobre esta política se pueden enviar a seguridad@holycross.com. También le invitamos a que se ponga en contacto con nosotros con sugerencias para mejorar esta política.

Historial de cambios del documento

Versión: 1.0
Fecha: 2 de octubre de 2024
Descripción: Primera emisión