Tanto los contenidos como los elementos insertados en el Sitio Web (incluyendo, sin limitación, marcas, logotipos, nombres comerciales, textos, imágenes, gráficos, diseños, bases de datos, software, diagramas de flujo, presentaciones, “look-and-feel”, audio y vídeo), se encuentran protegidos por derechos de propiedad intelectual e industrial de titularidad de CYSCOPE.

Queda totalmente prohibido al Usuario cualquier tipo de explotación, utilización comercial, alteración, reproducción, redistribución, cesión a terceros, comunicación pública, total o parcial, del Sitio Web y/o sus Contenidos, sin la autorización previa y expresa por escrito de CYSCOPE o de los respectivos titulares de los derechos. La calidad de usuario del sitio web no otorga derechos de propiedad de ningún tipo en el sitio web.

Las cláusulas de los TÉRMINOS Y CONDICIONES GENERALES, así como de sus respectivos anexos, no generan y no se pueden interpretar como una relación exclusiva entre CYSCOPE y el Usuario de la plataforma.

Las partes, declaran que entre ellas no existe una relación de agencia o sociedad alguna entre ellas en virtud de este Contrato.

La aceptación de los TÉRMINOS Y CONDICIONES GENERALES, así como de sus respectivos anexos, no genera una relación laboral alguna, ni un vínculo de subordinación o dependencia, por lo que CYSCOPE y el Hacker no serán, ni podrán ser considerados como empleador y trabajador dependiente respectivamente, para ningún efecto directo o indirecto.

CYSCOPE no contrae obligación alguna por concepto de pago de remuneraciones, sueldos, salarios, asignaciones, gratificaciones, cotizaciones previsionales y/o de salud, indemnizaciones u otras obligaciones laborales, asistenciales, previsionales y de prevención de riesgo más que la contraprestación por la gestión encargada. El pago de la recompensa es la única responsabilidad que asume CYSCOPE además de proporcionar el espacio digital para detectar vulnerabilidades en sistemas. Como consecuencia de lo anterior CYSCOPE no asume responsabilidad alguna por cualquier accidente, enfermedad o impedimento que pudiera sufrir el Usuario con cumplimiento de la detección de vulnerabilidades encargada.

Si el Hacker realiza una doble actividad remunerada, es responsable de manejar el cumplimiento laboral con su empleador y las obligaciones que contrae por medio de CYSCOPE.

Para reportar una vulnerabilidad, el Hacker, válidamente registrado, deberá completar el reporte de vulnerabilidad disponible en la plataforma de CYSCOPE, asociado al programa de seguridad en el cual está participando. No se aceptarán ni recompensarán vulnerabilidades que no hayan sido reportadas en la plataforma de CYSCOPE.

Para ser válido, el reporte deberá cumplir con los siguientes requisitos:

• Estar alineado con las reglas del programa especificadas por la Empresa.
• Estar dentro del alcance de trabajo definido por la Empresa.
• Incluir una descripción clara, detallada, concisa e ilustrada de la vulnerabilidad, del sistema afectado, su impacto, nivel de riesgo, parámetros y una prueba de concepto pertinente. Las pruebas de concepto pueden ser a través de pantallazos o videos. En el caso de que sea un video, su tamaño no debería exceder los 50 MB.
• Incluir la información clara y detallada tales como los distintos pasos a seguir para reproducir el error.

Si el equipo administrador del programa requiere información adicional sobre un reporte, se comunicará con el hacker a través de los canales de comunicación oficiales de CYSCOPE, es decir vía correo electrónico o a través del chat del programa. El hacker podrá comentar su reporte usando los mismos canales oficiales.

Si la información adicional requerida por el equipo administrador del programa no está proporcionada en un plazo máximo de 10 días, el reporte será cerrado y considerado como inválido.

Los reportes incompletos no cumplen con la política de divulgación de CYSCOPE y no serán aceptados por el equipo administrador del programa, sin perjuicio de lo anterior, no se exceptúan del cumplimiento de las obligaciones de confidencialidad y demás establecidas en los TERMINOS Y CONDICIONES GENERALES y demás Anexos.

Las vulnerabilidades reportadas, que están fuera del ámbito del programa, no serán analizadas ni recompensadas.

El hacker declarar leer, entender y aceptar el siguiente listado de acciones NO permitidas:

• Realizar pruebas sobre el sistema de la Empresa de manera descontrolada, afectando la disponibilidad, confidencialidad e integridad de los datos de la Empresa.
• Proporcionar información relacionada con el programa y los resultados obtenidos a terceros que no están directamente involucrados en el programa o gestión de este (Empresa del programa o equipo administrador de CYSCOPE).
• Divulgar una vulnerabilidad sin la autorización escrita de la Empresa y de CYSCOPE.
• Divulgar una vulnerabilidad a terceros, o en otros medios, aun cuando haya sido validada y mitigada por la Empresa.
• Realizar cambios en el sistema evaluado y compartir con terceros el acceso al sistema.
• Realizar ataques de fuerza bruta, ingeniería social, intrusión física y spam.
• Integrar el uso de malware en las pruebas.
• Subir vulnerabilidad o contenido relacionado con la Empresa a utilidades de terceros (por ejemplo, Github, YouTube etc.).
• Perjudicar a la Empresa a través de actividades no programadas o acordadas.
• Explotar los accesos a sistemas, cuentas, usuarios o datos de usuarios obtenidos por el hacker. En este caso, el Hacker deberá detener sus pruebas y elaborar un reporte para notificar a la Empresa. No podrá investigar más usando esta debilidad.
• Utilizar un lenguaje informal e inapropiado al momento de redactar el reporte de vulnerabilidad.
• Violar las normas de confidencialidad.
• Realizar ataques DoS o DDoS sin haber recibido una autorización escrita previa de CYSCOPE y de la Empresa. Si el hacker sospecha de un DoS de capa de aplicación, debe ponerse en contacto con el equipo administrador de CYSCOPE para pedir permiso a la Empresa.

• Páginas de error 500, 404, etc.
• Clickjacking.
• Enumeración UUID.
• CSV injection.
• Cross Site Request Forgery (CSRF) con impacto limitado.
• Reportes de escaneos SSL/TLS.
• Reportes especulativos con impacto teórico sin prueba de concepto.
• Reportes de escaneos automatizados sin una validación manual.
• Extraer la versión del sistema.
• Errores de Debug o revelación de la ruta del sistema (Path disclosure).
• Pruebas de ingeniería social.
• Ausencia de cabeceras de seguridad.
• Pruebas DoS y de estrés en general que impacten en el rendimiento de la aplicación/Servidor.

CYSCOPE se reserva el derecho de cambiar, agregar o quitar partes de la Política de Divulgación, en cualquier momento, haciendo público la fecha de actualización en el Sitio web. Es responsabilidad del Usuario revisar periódicamente la Política de Divulgación al usar el sitio web www.cyscope.ch y sus servicios. El Usuario reconoce y acepta que es su responsabilidad revisar esta política de privacidad periódicamente y tomar conocimiento de las modificaciones.

El Usuario, declara leer, entender y aceptar todas las condiciones establecidas en los Términos y Condiciones Generales y en la Política de Divulgación, previo a su inscripción como Usuario de CYSCOPE.

El uso continuó del Sitio después de la publicación de los cambios en esta política considerará su aceptación de dichos cambios.

En caso de tener alguna pregunta sobre esta Política de Divulgación, prácticas del sitio o sus relaciones con este sitio, por favor, comunicarse con el equipo administrador de CYSCOPE: [email protected]