Reportar Vulnerabilidades

SONDA está comprometida con la seguridad y el resguardo de los datos, aplicaciones y servicios de sus clientes, proveedores, partners y colaboradores. Creemos que la tecnología debe ser una herramienta para mejorar la calidad de vida de las personas, mejorar la productividad, eficiencia y seguridad de las organizaciones públicas y privadas de todos los países en que opera. Por esto, hemos adherido al Cyber Security Tech Accord, y apoyamos la divulgación responsable de las vulnerabilidades de seguridad de nuestros sistemas, aplicaciones y servicios, y estamos comprometidos a trabajar con nuestros profesionales para comprenderlos y resolverlos.

Para tal efecto se ha dispuesto la casilla de correo electrónico report.a.bug@sonda.com donde puedes reportar vulnerabilidades. Para lo anterior se deberá proceder de acuerdo a la Normativa, lo cual será presumido por SONDA en aplicación del principio Buena Fé, cumpliendo, entre otros, con lo siguiente:

  • Se deberán adjuntar los detalles del reporte, cifrando su contenido con password.
  • El informe debe contener la descripción del tipo error, problema o falla.
  • Se deberá entregar detalles por medio de un POC (Prueba de Concepto) donde se demuestre la exploración de la vulnerabilidad y su funcionamiento.
  • Aceptamos recomendaciones de mitigación o corrección a la vulnerabilidad, las cuales serán evaluadas de forma interna si corresponden, no siendo obligados a aplicar tales recomendaciones.

Al realizar un reporte de vulnerabilidades a SONDA S.A, entendemos que conoces nuestra política y nuestra normativa y te comprometes a aceptar y suscribirte a un acuerdo de confidencialidad de forma inmediata durante la corrección de la falla reportada, la cual obliga a no divulgarla durante todo el periodo de análisis y corrección al público.

Una vez que recibamos el reporte, SONDA mantendrá contacto durante todo el proceso de evaluación e investigación de forma transparente, entregando un feedback a quien reporte una vulnerabilidad de forma correcta y responsable.

SONDA no participa en un ningún programa público de recompensas de errores ni otorga premios financieros por encontrar problemas.