Política de divulgación de vulnerabilidades

Última actualización: 15 de junio de 2023
Promesa de marca‍

Summer, una B-Corp dedicada a ayudar a los prestatarios de préstamos estudiantiles, se compromete a garantizar la seguridad de nuestros usuarios. Con este fin, Summer ha formalizado ahora nuestra política de aceptación de informes de vulnerabilidades en nuestros productos. Esperamos fomentar una asociación abierta con la comunidad de seguridad, y reconocemos que el trabajo que hace la comunidad es importante para seguir garantizando la seguridad de todos nuestros clientes.

Hemos desarrollado esta política tanto para reflejar los valores de nuestra empresa como para mantener nuestra responsabilidad legal con los investigadores de seguridad de buena fe que nos proporcionan su experiencia.

Programa inicial y alcance
Ámbito inicial‍

El Programa de divulgación de vulnerabilidades de Summer cubre inicialmente los siguientes productos:

Aunque Summer puede desarrollar otros productos, pedimos a todos los investigadores de seguridad que envíen informes de vulnerabilidades sólo para la lista de productos indicada. Tenemos la intención de aumentar nuestro alcance a medida que adquirimos capacidad y experiencia con este proceso.

Dentro de la lista de productos anterior, abordaremos las vulnerabilidades, pero las siguientes cuestiones son

  • Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
  • Ataques que requieren MITM (Man in the Middle)
  • Clickjacking en páginas sin acciones sensibles.
  • CSRF no autenticado/logout/login.
  • Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
  • Enumeración de cuentas de usuario
  • Vulnerabilidades que requieren que los atacantes utilicen ingeniería social para acceder a la sesión autenticada de otro usuario, tokens, o requieren acceso físico a sus dispositivos.
  • Problemas que dependen de navegadores o plataformas móviles sin parches o anticuados.
  • Vulnerabilidades notificadas por herramientas automatizadas sin un análisis adicional de por qué constituyen un problema.
  • Revelación de versiones, mensajes de error detallados y cualquier otro hallazgo cuyo único impacto en la seguridad sea el "reconocimiento del atacante".
  • SPF y cuestiones de "higiene" antispam del correo electrónico
No emprenderemos acciones legales si...
Postura jurídica‍

Summer no emprenderá acciones legales contra las personas que envíen informes de vulnerabilidad. Aceptamos abiertamente informes para los productos de Summer actualmente listados. Nos comprometemos a no emprender acciones legales contra las personas que:

  • Realizar pruebas de sistemas/investigaciones sin perjudicar a Summer ni a sus clientes.
  • Realizar pruebas de vulnerabilidad en el ámbito de nuestro programa de divulgación de vulnerabilidades.
  • Adherirse a las leyes de su ubicación y de la ubicación de Summer. Por ejemplo, violar las leyes que sólo darían lugar a una reclamación por parte de Summer (y no a una reclamación penal) puede ser aceptable ya que Summer está autorizando la actividad (ingeniería inversa o eludir las medidas de protección) para mejorar su sistema.
  • Abstenerse de revelar públicamente los detalles de la vulnerabilidad antes de que expire un plazo acordado mutuamente.
Mecanismos y proceso de comunicación
Cómo enviar una vulnerabilidad‍

Para enviar un informe de vulnerabilidad al equipo de seguridad de productos de Summer, utilice el siguiente correo electrónico: security@meetsummer.org

Preferencias y prioridades de presentación no vinculantes
Preferencia, priorización y criterios de aceptación‍.

Utilizaremos los siguientes criterios para priorizar y clasificar las propuestas.

Lo que nos gustaría ver de usted:
  • Los informes bien redactados en inglés tendrán más posibilidades de resolución.
  • Los informes que incluyen código de prueba nos permiten realizar un mejor triaje.
  • Los informes que sólo incluyan volcados de fallos u otros resultados de herramientas automatizadas pueden recibir menor prioridad.
  • Los informes que incluyan productos que no figuren en la lista de alcance inicial pueden recibir una prioridad inferior.
  • Por favor, incluya cómo encontró el fallo, el impacto y cualquier posible remedio.
Qué puede esperar de nosotros:
  • Una respuesta puntual a su correo electrónico (en un plazo de 2 días laborables).
  • Tras el triaje, enviaremos un calendario previsto y nos comprometeremos a ser lo más transparentes posible sobre el plazo de reparación, así como sobre los problemas o retos que puedan ampliarlo.
  • Un diálogo abierto para debatir temas.
  • Notificación cuando el análisis de vulnerabilidad haya completado cada etapa de nuestra revisión.
  • Crédito después de que se haya validado y corregido la vulnerabilidad.
Versionado

Este documento, Versión 1.1, fue creado el 19 de marzo de 2021

Verano, PBC
33 Irving Place
Nueva York, NY 10003

Enlaces rápidos
Información adicional
Artículos recientes
La nueva era de la ayuda al préstamo estudiantil: Resumen del seminario web y principales conclusiones
Los gobiernos estatales y locales pueden utilizar el PSLF para ganar en un mercado laboral tenso
Summer se adjudica un contrato con Sourcewell en la categoría de bienestar financiero
Los pagos de préstamos estudiantiles se reanudarán en septiembre de 2023: Siete consejos de nuestros expertos
La Federación Americana de Profesores y Summer alcanzan los 22 millones de dólares en condonación de préstamos a estudiantes
Verano, PBC 2024