Skip to main content

Política de divulgació coordinada de vulnerabilitats (CVD)

1. Introducció

Onalabs Innohub S.L. (“Onalabs”) està compromesa amb la seguretat dels seus productes i la protecció dels seus usuaris. Reconeixem que els investigadors de seguretat independents tenen un paper important en la identificació de vulnerabilitats que ens ajuden a millorar la seguretat dels nostres dispositius i serveis.

Aquesta Política de Divulgació Coordinada de Vulnerabilitats (CVD) descriu com Onalabs rep, gestiona i respon als informes de vulnerabilitats de seguretat que afecten els seus productes, i com col·laborem amb les persones informants per abordar-les de manera responsable abans de qualsevol divulgació pública.

2. Abast

Aquesta política s’aplica a vulnerabilitats de seguretat en:

  • El dispositiu wearable Onasport en totes les seves versions de maquinari i firmware
  • L’aplicació complementària d’Onasport per a iOS i Android
  • Qualsevol altre equip radioelèctric d’Onalabs o servei digital associat comercialitzat al mercat de la UE

Aquesta política no s’aplica a:

  • Vulnerabilitats en serveis o infraestructures de tercers que no estiguin sota el control directe d’Onalabs, com ara proveïdors d’infraestructura al núvol o sistemes operatius mòbils. Recomanem a les persones informants que contactin directament amb aquests proveïdors.
  • Comentaris generals sobre productes, sol·licituds de funcionalitats o defectes que no estiguin relacionats amb la seguretat. Aquests s’han d’enviar a través dels nostres canals habituals de suport.

3. Com informar d’una vulnerabilitat

Envieu els informes de vulnerabilitats per correu electrònic a:

technical.support@onalabs.com

Per ajudar-nos a classificar i reproduir el problema de manera eficient, incloeu en el vostre informe tota la informació possible de la llista següent:

  • Descripció de la vulnerabilitat i el seu possible impacte
  • Producte afectat, versió de maquinari i versió de firmware o aplicació
  • Instruccions pas a pas per reproduir la vulnerabilitat
  • Qualsevol codi de prova de concepte, captures de pantalla o material de suport
  • El vostre mètode de contacte preferit per al seguiment

Els informes es poden enviar en anglès o espanyol.

4. Els nostres compromisos amb les persones informants

Un cop rebut el vostre informe, Onalabs es compromet al següent:

Fita Compromís
Confirmació de recepció Confirmarem la recepció del vostre informe en un termini de 5 dies hàbils.
Avaluació inicial Proporcionarem una avaluació inicial sobre la validesa i la gravetat de l’informe en un termini de 10 dies hàbils.
Termini de correcció Comunicarem un termini objectiu de correcció en un màxim de 30 dies des de la recepció de l’informe.
Notificació de resolució Us notificarem quan la vulnerabilitat hagi estat resolta o mitigada.
Divulgació coordinada Us demanem que ens concediu una finestra de divulgació de 90 dies des de la data del vostre informe abans de fer qualsevol divulgació pública, per donar-nos el temps necessari per desenvolupar i publicar una solució. Si necessitem més temps a causa d’una complexitat excepcional, en parlarem amb vosaltres de bona fe per acordar una possible ampliació.

Us mantindrem informats sobre el nostre progrés durant tot el procés. Si no podem complir algun dels terminis anteriors, comunicarem el motiu i un termini actualitzat amb la màxima brevetat possible.

5. Protecció legal per a investigacions de bona fe

Onalabs no emprendrà accions legals contra les persones que descobreixin i informin de vulnerabilitats de seguretat de bona fe i d’acord amb aquesta política.

Considerem que la investigació de seguretat realitzada conforme a aquesta política constitueix una conducta autoritzada. No iniciarem ni recomanarem accions legals contra les persones informants per activitats que:

  • Es duguin a terme de conformitat amb aquesta política
  • Es facin per identificar i demostrar una vulnerabilitat sense causar danys
  • No explotin la vulnerabilitat més enllà del que sigui necessari per demostrar-ne l’existència
  • No accedeixin, modifiquin ni extreguin dades més enllà del mínim necessari per confirmar la vulnerabilitat
  • No interrompin els productes, serveis o usuaris d’Onalabs

Onalabs es reserva el dret d’emprendre accions legals contra aquelles parts que actuïn fora d’aquests límits, incloses les que explotin vulnerabilitats amb finalitats econòmiques, causin danys a usuaris o sistemes d’Onalabs, o divulguin públicament vulnerabilitats abans que hagi transcorregut la finestra de divulgació acordada sense autorització prèvia.

Nota per al revisor legal: Confirmeu que aquest llenguatge de protecció legal per a investigacions de bona fe és coherent amb la legislació espanyola i de la UE aplicable, i que ofereix una protecció adequada i exigible per als investigadors de bona fe. (QMS-3)

6. Coordinació de la divulgació

Seguim un model de divulgació coordinada:

  1. La persona informant envia la vulnerabilitat a Onalabs a través de support@onalabs.com.
  2. Onalabs confirma la recepció i avalua l’informe.
  3. Onalabs desenvolupa i publica una solució dins del termini acordat.
  4. Onalabs i la persona informant coordinen el moment i el contingut de qualsevol divulgació pública.
  5. Quan correspongui, Onalabs reconeixerà públicament la contribució de la persona informant, llevat que prefereixi romandre en l’anonimat.

Si una vulnerabilitat ja està sent explotada activament o suposa un risc immediat per a la seguretat dels usuaris, Onalabs podrà accelerar el termini i coordinar una divulgació d’emergència amb la persona informant i les autoritats competents.

7. Activitats fora de l’abast

Les activitats següents no estan cobertes per aquesta política i poden donar lloc a accions legals:

  • Atacs de denegació de servei (DoS) o denegació de servei distribuïda (DDoS) contra productes o infraestructures d’Onalabs
  • Atacs físics contra maquinari o instal·lacions d’Onalabs
  • Enginyeria social o atacs de phishing dirigits a empleats o usuaris d’Onalabs
  • Accedir, extreure o modificar dades pertanyents a altres usuaris sense el seu consentiment explícit
  • Escanejos automatitzats de la infraestructura d’Onalabs sense autorització prèvia per escrit
  • Divulgació de vulnerabilitats a tercers abans que hagi transcorregut la finestra de divulgació coordinada de 90 dies

8. Programa de recompenses per errors

Onalabs no opera actualment cap programa de recompenses econòmiques per errors de seguretat. En aquest moment no oferim compensació econòmica per informes de vulnerabilitats.

No obstant això, valorem i reconeixem públicament les contribucions dels investigadors que ens ajuden a millorar la seguretat dels nostres productes, sempre subjecte al seu consentiment.

9. Contacte

Fita Compromís
Confirmació de recepció Confirmarem la recepció del vostre informe en un termini de 5 dies hàbils.
Avaluació inicial Proporcionarem una avaluació inicial sobre la validesa i la gravetat de l’informe en un termini de 10 dies hàbils.
Termini de correcció Comunicarem un termini objectiu de correcció en un màxim de 30 dies des de la recepció de l’informe.
Notificació de resolució Us notificarem quan la vulnerabilitat hagi estat resolta o mitigada.
Divulgació coordinada Us demanem que ens concediu una finestra de divulgació de 90 dies des de la data del vostre informe abans de fer qualsevol divulgació pública, per donar-nos el temps necessari per desenvolupar i publicar una solució. Si necessitem més temps a causa d’una complexitat excepcional, en parlarem amb vosaltres de bona fe per acordar una possible ampliació.

10. Revisió de la política

Aquesta política es revisarà anualment o quan es produeixi un canvi significatiu en la cartera de productes d’Onalabs o en les seves obligacions reguladores. La versió vigent estarà sempre disponible a la URL de la política indicada anteriorment.