Search

Programa de recompensas por seguridad

QNAP mantiene un compromiso absoluto con la seguridad de la información y ha decidido colaborar con la comunidad investigadora en seguridad para identificar y solucionar vulnerabilidades con el fin de aumentar la seguridad de nuestros usuarios y de Internet. A modo de agradecimiento para quienes colaboren, QNAP ofrece recompensas a través de nuestro programa de recompensas por seguridad.

Ámbito del programa

Nuestro programa de recompensas por seguridad solo acepta vulnerabilidades de seguridad en productos y servicios de QNAP. Las vulnerabilidades que queden fuera de este ámbito no optarán a una recompensa, exceptuando la comunicación de vulnerabilidades críticas fuera del ámbito según la situación.

¿Cómo comunicar la vulnerabilidad y obtener recompensas?

Use la siguiente clave pública de cifrado PGP para encriptar su correo electrónico y envíelo a security@qnap.com. Nos pondremos en contacto con usted lo antes posible.

Formato sugerido del informe de vulnerabilidad

Clave de encriptado de PGP

Copiar clave de encriptado de PGP
Comunicar vulnerabilidad

Condiciones de la recompensa

  • Debe ser el primer colaborador que comunica las vulnerabilidades.

  • No debe haber compartido públicamente ningún archivo ni ningún detalle relacionado con la vulnerabilidad. Esto incluye la carga en cualquier sitio web de acceso público.

  • Un equipo de QNAP PSIRT será el encargado de confirmar si la vulnerabilidad comunicada es verificable y replicable, y constituye un problema de seguridad válido.

  • Usted acepta todos los términos y condiciones del programa de recompensas por seguridad.

La recompensa puede aumentar por diversos factores:

  • Integridad del formato: Cumplir con los ejemplos de formato y proporcionar información detallada cuando se denuncian vulnerabilidades en sistemas operativos, aplicaciones o servicios en la nube. Ejemplos de formato: Sistemas operativos, Aplicaciones, Cloud Servicios.

  • Pasos para reproducir: Exponga sus pasos para reproducir las vulnerabilidades.

  • Descripciones del problema: Presente de forma clara y concisa su solución de problemas y su enfoque.

  • Otra información de ayuda: Incluya código de prueba, secuencias de comandos y cualquier otra cosa necesaria para su explicación.

  • Datos sin procesar de los ataques (carga útil de exploit): Es necesario elaborar un informe en forma de texto para garantizar la integridad de los datos. Cabe la posibilidad de que las evaluaciones de vulnerabilidad no cumplan con las previsiones de QNAP PSIRT cuando las cargas útiles de la red se proporcionaron solo en imágenes.

Preguntas frecuentes

La recompensa dependerá de la complejidad que haya supuesto el hallazgo de la vulnerabilidad, de la posible exposición, y del porcentaje de usuarios y sistemas afectados.

Si los vídeos pueden facilitarnos la compresión de cómo se explota una vulnerabilidad, el comité de premios de QNAP puede incrementar incluso la recompensa. Recuerde que, aun así, se debe suministrar también la documentación escrita (es decir, información del producto, resumen de la vulnerabilidad y pasos para reproducirla), ya que esto nos ayuda a gestionar el proceso de divulgación de la vulnerabilidad.

Un informe de vulnerabilidad debe incluir, al menos, la siguiente información: el nombre del producto, la versión y el número de compilación en el que existe la vulnerabilidad o la ubicación de URL de los servicios de cloud.
También debería ofrecer un resumen de las posibles amenazas que supone la vulnerabilidad, junto con unos pasos de replicación claramente detallados. Además, el informe puede ir acompañado de un vídeo que demuestre la vulnerabilidad.

Utilice la clave PGP suministrada por QNAP para cifrar el informe y enviarlo a security@qnap.com. El sistema responderá automáticamente con un número de asistencia técnica que puede utilizar para consultar el progreso de la revisión. El equipo de PSIRT de QNAP se pondrá en contacto de forma proactiva con el investigador para confirmar la integridad de la información enviada. Si se ha facilitado toda la información, el investigador recibirá una confirmación de vulnerabilidad del equipo de PSIRT de QNAP en el plazo de una semana. La carta incluirá el CVE ID que se ha asignado al problema de seguridad notificado. La propuesta de premio se notificará por correo electrónico cuatro semanas después de la fecha de la carta de confirmación de la vulnerabilidad. Si el investigador está de acuerdo, se espera que QNAP realice el pago 12 semanas después de recibir la respuesta de confirmación.

Suscríbase a QNAP eNews para recibir las últimas noticias sobre seguridad del producto

Suscríbase ahora Un análisis exhaustivo de los avisos de seguridad

Elija especificación

      Mostrar más Mostrar menos

      Este portal en otros países / regiones:

      open menu
      back to top