Política de divulgación responsable/divulgación de vulnerabilidades
En Choice Hotels International, reconocemos y alentamos a los investigadores de seguridad a que se pongan en contacto con nosotros para informarnos de potenciales vulnerabilidades que han identificado en productos, sistemas o activos de nuestra propiedad. En relación con esto, hemos establecido una política de divulgación responsable, llamada también política de divulgación de vulnerabilidades. Modificaremos y mejoraremos esta política a medida que pase el tiempo, por eso le pedimos que la consulte periódicamente para conocer las actualizaciones.
Mensaje especial para investigadores de seguridad/la comunidad de informes sobre vulnerabilidad
Deseamos agradecerle por informarnos sobre las brechas potenciales en nuestra seguridad. Apreciamos enormemente a aquellos de ustedes que se conectan con nosotros para rectificar vulnerabilidades para garantizar la menor cantidad de impacto y riesgo para nuestras comunidades de partes interesadas, y en apoyo, hemos establecido una política de divulgación responsable/divulgación de vulnerabilidades.
Acción legal
No iniciaremos acciones legales, ni presentaremos una queja al organismo de cumplimiento de la ley correspondiente contra la persona que detecte la brecha/el investigador de seguridad que actúe de buena fe. Sin embargo, Choice Hotels International se reserva todos los derechos legales en caso de incumplimiento con las pautas para operar de buena fe que se incluyen a continuación en la política.
Recompensa
Tenga en cuenta que actualmente Choice Hotels International no ofrece un programa de «recompensas» para estos casos; por lo tanto, no ofrecemos compensación ni recompensa algunas, ni reconocimiento público por enviar información sobre potenciales vulnerabilidades.
Pautas para operar de buena fe
A fin de promover el descubrimiento y la información de vulnerabilidades, le pedimos:
- que sea respetuoso con nuestras aplicaciones existentes, que evite las violaciones de privacidad, la destrucción de datos y la interrupción o degradación de nuestros servicios (incluida la negación de servicio);
- que no acceda ni modifique nuestros datos ni aquellos de las partes interesadas:
- que se ponga en contacto con nosotros de inmediato si encuentra datos de partes interesadas, y que no visualice, altere, destruya, guarde, comparta, almacene, transfiera o de alguna otra manera acceda o comprometa los datos, y que depure cualquier información local del informe de la vulnerabilidad para nosotros;
- que si encuentra información personal (p. ej., nombres, direcciones, direcciones de correo electrónico, números de cuentas de fidelidad, identificadores únicos, números de tarjeta de crédito), detenga toda actividad y contacte de inmediato con Choice Hotels International;
- que no cree transacciones financieras fraudulentas;
- que no participe en ninguna actividad que viole a) las leyes o normativas federales, estatales o internacionales, o b) las leyes o normativas de cualquier país donde i) se encuentren activos, datos o sistemas, ii) se enrute el tráfico de datos, iii) el investigador esté realizando la investigación, o iv) donde residan los interesados; y
- que comparta el problema de privacidad o seguridad con nosotros.
Proceso de divulgación responsable/divulgación de vulnerabilidad: cómo enviar una vulnerabilidad
Para informarnos acerca de una potencial vulnerabilidad, envíenos un correo electrónico a los equipos de Seguridad y Privacidad de la Información: responsibledisclosure@choicehotels.com.
Formato del envío
Cuando informe sobre una potencial vulnerabilidad, incluya una descripción detallada de esta: las herramientas utilizadas, el objetivo, los procesos y los resultados. Le solicitamos que acompañe sus hallazgos con cualquier artefacto pertinente que haya utilizado para el descubrimiento. Si posee información respecto a la solución para remediar la vulnerabilidad, le solicitamos que la comparta, si bien no es obligatorio para la revisión y la validación/verificación de la vulnerabilidad.
Reconocimiento y respuesta
Cuando el equipo de Seguridad de la Información reciba un informe, se enviará un reconocimiento al remitente dentro de un plazo de cinco días laborales. Según sea necesario, es posible que se envíe una solicitud adicional para obtener más información. Después de la validación/verificación de una vulnerabilidad, se enviará una respuesta al remitente.
Plazo
Choice Hotels International no negociará como respuesta a una amenaza (es decir, no negociaremos bajo amenaza de retención, o amenaza de divulgación de la vulnerabilidad al público). Habiendo establecido esto, dedicamos nuestros recursos a trabajar junto a usted y le pedimos que nos otorgue un plazo razonable para la validación/verificación y consecuente solución de la vulnerabilidad antes de tomar medidas para hacerla pública.
Información de vulnerabilidad a terceros
La presentación de informes de vulnerabilidad a otros terceros/colaboradores estará determinada a discreción de Choice Hotels International.
Fuera del ámbito de aplicación
A continuación se indican las vulnerabilidades que no deben enviarse según la política de divulgación responsable. Las vulnerabilidades fuera del ámbito de aplicación incluyen las siguientes:
- Ingeniería social, por ejemplo, intentos de robo de cookies, páginas de inicio de sesión falsas para obtener credenciales y phishing
- Ataques para agotamiento de recursos
- Pruebas físicas
- Ataques de denegación de servicio