Fastly da una gran importancia a la seguridad de su red y sus clientes y apoya de manera activa a la comunidad de la seguridad en su conjunto. Fastly es una empresa comprometida con la investigación independiente y la divulgación responsable en materia de seguridad.
A continuación repasamos las directrices aplicables a la investigación y notificación de posibles vulnerabilidades de seguridad en nuestra red.
Las evaluaciones de seguridad deben cumplir los siguientes requisitos:
llevarse a cabo únicamente en los siguientes dominios *.fastly.com: https://www.fastly.com, https://manage.fastly.com y https://docs.fastly.com;
no efectuarse en los demás dominios de Fastly, incluido *.fastly.net;
no efectuarse en ningún dominio que no sea de Fastly;
no comprometer la disponibilidad de los servicios de Fastly;
no comprometer la seguridad ni la privacidad de los clientes de Fastly ni los datos de la red de Fastly;
no aplicar procedimientos destructivos ni perjudiciales;
no conllevar ingeniería social ni evaluación de los controles de seguridad físicos.
Los resultados de las evaluaciones de seguridad deben notificarse rellenando el siguiente formulario. El formulario debe facilitar todos los detalles conocidos, incluidos:
información de contacto válida del informador;
descripción de la ubicación y la naturaleza de la vulnerabilidad;
pasos detallados para reproducir la vulnerabilidad;
breve descripción de la posible repercusión de la vulnerabilidad en la seguridad.
Además:
Las capturas de pantalla y los vídeos siempre resultan útiles.
Los mensajes pueden cifrarse con nuestra clave pública PGP (no obligatorio).
Fastly:
acusará recibo de la notificación inicial de evaluación de seguridad en un plazo de dos días hábiles;
priorizará la reproducción y, posteriormente, la confirmación de cualquier vulnerabilidad notificada;
en toda vulnerabilidad confirmada, establecerá a la mayor brevedad un calendario razonable para solucionarla y divulgarla públicamente;
enviará una camiseta de Fastly al primer informador de una vulnerabilidad confirmada y solucionada, en agradecimiento por su trabajo (solo se envía una camiseta por informador, aunque agradecemos que se siga informando de otras vulnerabilidades);
no emprenderá acciones legales contra ningún informador que cumpla con todas las directrices de evaluación y notificación de vulnerabilidades de seguridad y que coopere plenamente con las peticiones razonables de ayuda por parte de Fastly para reproducir la vulnerabilidad.
Atención: las pruebas o investigaciones de seguridad que interfieran o perturben la integridad o el rendimiento de los Servicios infringen nuestra política de uso aceptable. Debes responder de inmediato a toda comunicación de Fastly con respecto a tu trabajo para garantizar que tus actividades no afecten negativamente a otros clientes o a la red de Fastly.