Política de divulgación coordinada de vulnerabilidades (CVD)
1. Introducción
Onalabs Innohub S.L. (“Onalabs”) está comprometida con la seguridad de sus productos y la protección de sus usuarios. Reconocemos que los investigadores de seguridad independientes desempeñan un papel importante en la identificación de vulnerabilidades que nos ayudan a mejorar la seguridad de nuestros dispositivos y servicios.
Esta Política de Divulgación Coordinada de Vulnerabilidades (CVD) describe cómo Onalabs recibe, gestiona y responde a los informes de vulnerabilidades de seguridad que afectan a sus productos, y cómo colaboramos con los informantes para abordarlas de forma responsable antes de cualquier divulgación pública.
2. Alcance
Esta política se aplica a vulnerabilidades de seguridad en:
- El dispositivo wearable Onasport en todas sus versiones de hardware y firmware
- La aplicación complementaria de Onasport para iOS y Android
- Cualquier otro equipo radioeléctrico de Onalabs o servicio digital asociado comercializado en el mercado de la UE
Esta política no se aplica a:
- Vulnerabilidades en servicios o infraestructuras de terceros que no estén bajo el control directo de Onalabs, como proveedores de infraestructura en la nube o sistemas operativos móviles. Recomendamos a los informantes que contacten directamente con dichos proveedores.
- Comentarios generales sobre productos, solicitudes de funcionalidades o defectos que no estén relacionados con la seguridad. Estos deben enviarse a través de nuestros canales habituales de soporte.
3. Cómo informar de una vulnerabilidad
Envíe los informes de vulnerabilidades por correo electrónico a:
Para ayudarnos a clasificar y reproducir el problema de forma eficiente, incluya en su informe toda la información posible de la siguiente lista:
- Descripción de la vulnerabilidad y su posible impacto
- Producto afectado, versión de hardware y versión de firmware o aplicación
- Instrucciones paso a paso para reproducir la vulnerabilidad
- Cualquier código de prueba de concepto, capturas de pantalla o material de apoyo
- Su método de contacto preferido para el seguimiento
Los informes pueden enviarse en inglés o español.
4. Nuestros compromisos con los informantes
Una vez recibido su informe, Onalabs se compromete a lo siguiente:
| Hito | Compromiso |
| Confirmación de recepción | Confirmaremos la recepción de su informe en un plazo de 5 días laborables. |
| Evaluación inicial | Proporcionaremos una evaluación inicial sobre la validez y gravedad del informe en un plazo de 10 días laborables. |
| Plazo de corrección | Comunicaremos un plazo objetivo de corrección en un máximo de 30 días desde la recepción del informe. |
| Notificación de resolución | Le notificaremos cuando la vulnerabilidad haya sido resuelta o mitigada. |
| Divulgación coordinada | Le pedimos que nos conceda una ventana de divulgación de 90 días desde la fecha de su informe antes de realizar cualquier divulgación pública, para que dispongamos del tiempo necesario para desarrollar y publicar una solución. Si necesitamos más tiempo debido a una complejidad excepcional, hablaremos con usted de buena fe para acordar una posible extensión. |
Le mantendremos informado sobre nuestro progreso durante todo el proceso. Si no podemos cumplir alguno de los plazos anteriores, comunicaremos el motivo y un plazo actualizado con la mayor brevedad posible.
5. Protección legal para investigaciones de buena fe
Onalabs no emprenderá acciones legales contra las personas que descubran e informen de vulnerabilidades de seguridad de buena fe y de acuerdo con esta política.
Consideramos que la investigación de seguridad realizada conforme a esta política constituye una conducta autorizada. No iniciaremos ni recomendaremos acciones legales contra los informantes por actividades que:
- Se realicen de conformidad con esta política
- Se lleven a cabo para identificar y demostrar una vulnerabilidad sin causar daños
- No exploten la vulnerabilidad más allá de lo necesario para demostrar su existencia
- No accedan, modifiquen ni extraigan datos más allá del mínimo necesario para confirmar la vulnerabilidad
- No interrumpan los productos, servicios o usuarios de Onalabs
Onalabs se reserva el derecho de emprender acciones legales contra aquellas partes que actúen fuera de estos límites, incluidas las que exploten vulnerabilidades con fines económicos, causen daños a usuarios o sistemas de Onalabs, o divulguen públicamente vulnerabilidades antes de que haya transcurrido la ventana de divulgación acordada sin autorización previa.
Nota para el revisor legal: Confirme que este lenguaje de protección legal para investigaciones de buena fe es coherente con la legislación española y de la UE aplicable, y que ofrece una protección adecuada y exigible para los investigadores de buena fe. (QMS-3)
6. Coordinación de la divulgación
Seguimos un modelo de divulgación coordinada:
- El informante envía la vulnerabilidad a Onalabs a través de support@onalabs.com.
- Onalabs confirma la recepción y evalúa el informe.
- Onalabs desarrolla y publica una solución dentro del plazo acordado.
- Onalabs y el informante coordinan el momento y el contenido de cualquier divulgación pública.
- Cuando corresponda, Onalabs reconocerá públicamente la contribución del informante, salvo que este prefiera permanecer en el anonimato.
Si una vulnerabilidad ya está siendo explotada activamente o supone un riesgo inmediato para la seguridad de los usuarios, Onalabs podrá acelerar el plazo y coordinar una divulgación de emergencia con el informante y las autoridades competentes.
7. Actividades fuera del alcance
Las siguientes actividades no están cubiertas por esta política y pueden dar lugar a acciones legales:
- Ataques de denegación de servicio (DoS) o denegación de servicio distribuida (DDoS) contra productos o infraestructuras de Onalabs
- Ataques físicos contra hardware o instalaciones de Onalabs
- Ingeniería social o ataques de phishing dirigidos a empleados o usuarios de Onalabs
- Acceder, extraer o modificar datos pertenecientes a otros usuarios sin su consentimiento explícito
- Escaneos automatizados de la infraestructura de Onalabs sin autorización previa por escrito
- Divulgación de vulnerabilidades a terceros antes de que haya transcurrido la ventana de divulgación coordinada de 90 días
8. Programa de recompensas por errores
Onalabs no opera actualmente un programa de recompensas económicas por errores de seguridad. En este momento no ofrecemos compensación económica por informes de vulnerabilidades.
No obstante, valoramos y reconocemos públicamente las contribuciones de los investigadores que nos ayudan a mejorar la seguridad de nuestros productos, siempre sujeto a su consentimiento.
9. Contacto
| Hito | Compromiso |
| Confirmación de recepción | Confirmaremos la recepción de su informe en un plazo de 5 días laborables. |
| Evaluación inicial | Proporcionaremos una evaluación inicial sobre la validez y gravedad del informe en un plazo de 10 días laborables. |
| Plazo de corrección | Comunicaremos un plazo objetivo de corrección en un máximo de 30 días desde la recepción del informe. |
| Notificación de resolución | Le notificaremos cuando la vulnerabilidad haya sido resuelta o mitigada. |
| Divulgación coordinada | Le pedimos que nos conceda una ventana de divulgación de 90 días desde la fecha de su informe antes de realizar cualquier divulgación pública, para que dispongamos del tiempo necesario para desarrollar y publicar una solución. Si necesitamos más tiempo debido a una complejidad excepcional, hablaremos con usted de buena fe para acordar una posible extensión. |
10. Revisión de la política
Esta política se revisará anualmente o cuando se produzca un cambio significativo en la cartera de productos de Onalabs o en sus obligaciones regulatorias. La versión vigente estará siempre disponible en la URL de la política indicada anteriormente.