Programa de divulgación de vulnerabilidades y recompensas por errores de GlobalMeet

En GlobalMeet, nos tomamos muy en serio la seguridad de nuestros sistemas y datos. Reconocemos que los investigadores de seguridad externos y la comunidad en general desempeñan un papel importante en la identificación de vulnerabilidades antes de que puedan ser explotadas. Agradecemos los informes de vulnerabilidades de investigadores de seguridad y del público. Si cree haber encontrado un problema de seguridad que podría afectar a nuestros sistemas, servicios o clientes, infórmenos para que podamos investigarlo y solucionarlo.

En alcance

 

Cualquier vulnerabilidad que pueda afectar la confidencialidad, integridad o disponibilidad de nuestros sistemas o datos de clientes. Las pruebas solo se autorizan en los activos incluidos en el alcance que se enumeran a continuación y solo cuando se realizan de buena fe y de conformidad con esta política.

  • Aplicaciones y servicios públicos bajo los dominios *.globalmeet.com y *.webcasts.com
  • API públicas operadas bajo los dominios anteriores

Fuera del ámbito

Los siguientes se consideran fuera del alcance de este programa, a menos que pueda demostrar un impacto en la seguridad que cambie su naturaleza:

  • Ingeniería social (por ejemplo, phishing, vishing, acceso físico)
  • Problemas de infraestructura sin una cadena de explotación (por ejemplo, puertos abiertos, versión de TLS, registros DNS)
  • Denegación de servicio (DoS) o agotamiento de recursos
  • Encabezados de seguridad faltantes sin una prueba de concepto explotable
  • Auto-XSS (carga útil definida por el usuario que afecta solo a su propia sesión)
  • CSRF de inicio/cierre de sesión
  • Falsificación de contenido sin inyección de HTML/script
  • Vulnerabilidades que requieren dispositivos jailbreakeados o rooteados
  • Ataques de clickjacking o basados ​​en iframes sin impacto demostrado
  • Problemas limitados a entornos sandbox, de control de calidad o de prueba (a menos que también se pueda demostrar que existen en producción)
  • Salida de escáner automatizada o hallazgos automatizados sin una prueba de concepto funcional o un impacto claro en la seguridad

Cómo informar una vulnerabilidad

Envíe su informe a: [email protected]

Incluye:

  1. Descripción de la vulnerabilidad y su impacto potencial
  2. Reproducción paso a paso de una sesión nueva
  3. URL, aplicaciones o puntos finales de API afectados
  4. Prueba de concepto (PoC): capturas de pantalla, vídeo o código de explotación mínimo
  5. Detalles de la cuenta de prueba (si se utiliza)
  6. Cualquier carga útil o archivo de prueba inofensivo cargado durante la prueba
  7. Detalles del entorno: versión del navegador, sistema operativo, IP(s) utilizadas para la prueba
  8. Registros relevantes o salida de la consola

Acusaremos recibo en un plazo de 10 días hábiles y le proporcionaremos actualizaciones de estado según la gravedad. Tras la confirmación, le notificaremos si el hallazgo es válido, inválido o está fuera de alcance. En el caso de problemas válidos, le proporcionaremos actualizaciones periódicas y una confirmación final una vez finalizada la corrección (y ofreceremos nuevas pruebas cuando corresponda). Podemos cerrar los informes por duplicado, fuera de alcance o informativos (por ejemplo, de bajo riesgo sin exploit significativo), y dichos informes podrían no ser elegibles para recibir una recompensa.

Safe Harbor

 

Si realiza un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad:

  • No iniciaremos acciones legales contra usted por informar vulnerabilidades dentro del alcance
  • No acceda, modifique ni elimine datos que no sean suyos. Si accede inadvertidamente a datos personales o confidenciales, deténgase inmediatamente y repórtelo.
  • Le solicitamos que evite violaciones de privacidad, interrupción del servicio o destrucción de datos.
Términos legales y licencia

Al enviar un informe, declara tener derecho a compartir la información que proporciona. Otorga a GlobalMeet una licencia no exclusiva, mundial y libre de regalías para usar su informe únicamente con el fin de validar, corregir y mejorar la seguridad de nuestros productos y servicios.
Reconocimiento y recompensas

A nuestra discreción, podemos ofrecer recompensas monetarias, obsequios o reconocimiento público en nuestro Salón de la Fama según la gravedad y la calidad del informe. Las recompensas no están garantizadas, se otorgan únicamente a discreción de GlobalMeet y pueden estar limitadas por las leyes y restricciones comerciales aplicables.
Divulgación coordinada

Por favor, espere un plazo razonable para la remediación antes de divulgar públicamente la vulnerabilidad (normalmente 90 días). Con gusto coordinaremos los plazos con usted.

Nuestro Compromiso

  • Revisar y reconocer todos los envíos con prontitud
  • Priorizar y remediar las vulnerabilidades confirmadas
  • Mantenerle informado del progreso y resolución.
Gracias por ayudarnos a mantener seguros a GlobalMeet y a nuestros clientes.
Última actualización: 10 / 15 / 2025