Created with Sketch.

Recovery Email

Your account give you access to even more premium content, don't lose access to it. Provide a recovery email below.
  • Secondary E-mail

Programa de divulgación responsable

Cuando las correcciones de vulnerabilidades están listas, se envían a los clientes a través de nuestro ciclo de parches periódico.

Resumen

ServiceNow se toma la seguridad muy en serio. Si descubres una vulnerabilidad en nuestros sistemas, productos o infraestructura de red, ServiceNow agradece tu colaboración a la hora de transmitirlo a nuestra empresa de forma responsable. Aunque ServiceNow no aprueba los intentos de auditar de forma activa nuestra infraestructura, reconocemos que, en ocasiones, se descubren vulnerabilidades de forma casual. El siguiente contenido describe las prácticas recomendadas para enviar información sobre vulnerabilidades.

Ámbito

Ten en cuenta que ServiceNow no aprueba los intentos de auditar de forma activa nuestra infraestructura.

Este documento se refiere a las vulnerabilidades técnicas de los productos, servicios y sistemas propiedad de ServiceNow. Al informar sobre una vulnerabilidad, debe tenerse en cuenta el escenario de ataque y la capacidad de vulneración, así como el impacto del bug para la seguridad. Los siguientes dominios son ejemplos de nuestros activos.

*.servicenow.com
*.service-now.com

Fuera del ámbito de aplicación

  • Dominios/subdominios fuera del ámbito de las pruebas aprobadas.
  • Vulnerabilidades relacionadas con los ataques por denegación de servicio (DoS).
  • Vulnerabilidades descubiertas por medio de herramientas o exploraciones automatizadas.
  • Vulnerabilidades que requieren el acceso físico al equipo o dispositivo de un usuario.
  • Vulnerabilidades en sitios de socios de ServiceNow.
  • Técnicas de ingeniería social o spam.
  • Ataques físicos contra oficinas o centros de datos de ServiceNow.


Directrices

Sigue las directrices que se indican a continuación para revelar las vulnerabilidades.

  • Informa de cualquier posible problema de seguridad en cuanto sea posible. ServiceNow hará todo lo posible por resolver rápidamente el problema.

  • Informa de cualquier posible problema de seguridad en cuanto sea posible. ServiceNow hará todo lo que esté en su mano por resolver rápidamente el problema.

  • Se recomienda el uso de ReproNow para hacer una demostración de la reproducibilidad del problema, pero no es obligatorio.

  • No divulgues ningún problema al público o a terceros hasta que ServiceNow lo haya resuelto.

  • Haz un esfuerzo de buena voluntad por evitar las infracciones de privacidad, la destrucción de datos y la interrupción o degradación de nuestro servicio. Interactúa únicamente con las cuentas de tu propiedad o con cuentas de terceros si dispones de permiso explícito del titular.

  • Suprime cualquier expresión o imagen que pueda identificar al programa o los clientes de ServiceNow a partir de la información sobre una vulnerabilidad corregida.

  • No participes en pruebas disruptivas (como DoS) ni en cualquier acción que pudiera afectar a la confidencialidad, la integridad o la disponibilidad de la información y los sistemas.

  • No participes en actividades de ingeniería social ni phishing de clientes o empleados.

  • No solicites retribución por tiempo o materiales, ni por vulnerabilidades descubiertas a través del Programa de divulgación responsable.


Envíos de vulnerabilidad

Para informar de una vulnerabilidad, envía un informe (que incluya una prueba de concepto) por correo electrónico a disclosure@servicenow.com. ServiceNow intentará revisar y responder al informe en un plazo de 5 días hábiles a partir del envío.

Referencias

 

Gracias por ayudar a proteger ServiceNow y a nuestros usuarios.