Introducción
D2L se compromete a garantizar la seguridad de los productos y servicios que ofrecemos, y a garantizar la protección de la información que nos confían nuestros clientes y usuarios. Esta política tiene como objetivo proporcionar a los investigadores de seguridad directrices claras para llevar a cabo actividades de detección de vulnerabilidades y transmitir nuestras preferencias sobre cómo enviarnos las vulnerabilidades descubiertas.
Esta política describe qué sistemas y tipos de investigación están cubiertos por esta política, cómo enviarnos informes de vulnerabilidades y cuánto tiempo pedimos a los investigadores de seguridad que esperen antes de divulgar públicamente las vulnerabilidades.
Le animamos a que se ponga en contacto con nosotros para informar de posibles vulnerabilidades en nuestros sistemas.
Autorización
Si hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con usted para comprender y resolver el problema rápidamente, y D2L no recomendará ni emprenderá acciones legales relacionadas con su investigación. En caso de que un tercero inicie una acción legal contra usted por actividades que se llevaron a cabo de acuerdo con esta política, le haremos saber esta autorización.
Directrices
En virtud de esta política, "investigación" se refiere a las actividades en las que usted:
- Notifíquenos lo antes posible después de descubrir un problema de seguridad real o potencial.
- Haga todo lo posible para evitar violaciones de la privacidad, degradación de la experiencia del usuario, interrupción de los sistemas de producción y destrucción o manipulación de datos.
- Utilice los exploits solo en la medida necesaria para confirmar la presencia de una vulnerabilidad. No utilice un exploit para poner en peligro o exfiltrar datos, establecer un acceso persistente a la línea de comandos ni utilizar el exploit para pasar a otros sistemas.
- Proporciónenos un tiempo razonable para resolver el problema antes de divulgarlo públicamente.
- No envíe un gran volumen de informes de baja calidad.
Una vez que haya establecido que existe una vulnerabilidad o encuentre datos confidenciales (incluida la información de identificación personal, la información financiera o la información de propiedad o los secretos comerciales de cualquier parte), Debe detener su prueba, notificarnos de inmediato y no divulgar estos datos a nadie más.
Métodos de ensayo
Los siguientes métodos de prueba no están autorizados:
- Pruebas de denegación de servicio de red (DoS o DDoS) u otras pruebas que perjudiquen el acceso o dañen un sistema o datos
- Pruebas físicas (p. ej., acceso a oficinas, puertas abiertas, tailgating), ingeniería social (p. ej., phishing, vishing) o cualquier otra prueba de vulnerabilidad no técnica
Alcance
Esta política se aplica a:
- Instancias del LMS de D2L Brightspace
- Instancias de D2L Wave
- API y servicios compatibles con Brightspace y Wave
- Código fuente publicado en https://github.com/Brightspace
- d2l.com
Las pruebas en instancias de cliente requieren la autorización del cliente asociado. Si desea acceder a una instancia de Brightspace o Wave para realizar pruebas, póngase en contacto con nosotros en security@d2l.com.
Cualquier servicio no mencionado expresamente anteriormente, como los servicios conectados, queda excluido del ámbito de aplicación y no están autorizados para realizar pruebas. Además, las vulnerabilidades encontradas en los sistemas de nuestros proveedores quedan fuera del alcance de esta política y deben informarse directamente al proveedor de acuerdo con su política de divulgación (si la hubiera). Si no está seguro de si un sistema está dentro del alcance o no, póngase en contacto con nosotros en security@d2l.com antes de comenzar su investigación.
Aunque desarrollamos y mantenemos otros sistemas o servicios accesibles a través de Internet, pedimos que Investigación y pruebas activas solo se llevará a cabo en los sistemas y servicios cubiertos por el alcance de este documento. Si hay un sistema en particular que no está dentro del alcance y que cree que merece ser probado, póngase en contacto con nosotros para discutirlo primero.
Todos los sistemas enumerados anteriormente son elegibles para contratos.
Informar de una vulnerabilidad
La información enviada en virtud de esta política se utilizará únicamente con fines defensivos, para mitigar o remediar vulnerabilidades. Si sus hallazgos incluyen vulnerabilidades recién descubiertas que afectan a todos los usuarios de un producto o servicio y no solo a D2L, podemos compartir su informe con el equipo de seguridad del producto o servicio afectado. No compartiremos su nombre o información de contacto sin permiso expreso.
Aceptamos informes de vulnerabilidad a través de incident@d2l.com. Las denuncias pueden presentarse de forma anónima. Si comparte información de contacto, acusaremos recibo de su informe dentro de los 3 días hábiles. No admitimos correos electrónicos cifrados con PGP.
Lo que nos gustaría ver de ti
Con el fin de ayudarnos a clasificar y priorizar los envíos, recomendamos que sus informes:
- Describa la ubicación en la que se descubrió la vulnerabilidad y el impacto potencial de la explotación.
- Ofrezca una descripción detallada de los pasos necesarios para reproducir la vulnerabilidad (los scripts de prueba de concepto o las capturas de pantalla son útiles).
- Estar en inglés, si es posible.
Lo que puedes esperar de nosotros
Cuando elige compartir su información de contacto con nosotros, nos comprometemos a coordinarnos con usted de la manera más abierta y rápida posible.
- Dentro de los 3 días hábiles, acusaremos recibo de su informe.
- En la medida de nuestras posibilidades, le confirmaremos la existencia de la vulnerabilidad y seremos lo más transparentes posible sobre los pasos que estamos tomando durante el proceso de corrección, incluidos los problemas o desafíos que puedan retrasar la resolución.
- Mantendremos un diálogo abierto para discutir los temas.
Preguntas
Las preguntas relacionadas con esta política pueden enviarse a security@d2l.com. También le invitamos a ponerse en contacto con nosotros con sugerencias para mejorar esta política.