Robeco, The Investments Engineers

Comunicación responsable

Trabajando en la seguridad de los sistemas

Cada día, los especialistas de Robeco se esfuerzan por mejorar los distintos sistemas y procesos. Esto ayuda a proteger los datos de nuestros clientes contra su uso indebido, y también asegura la continuidad de nuestros servicios. Sin embargo, esto no implica que no puedan surgir problemas en nuestros sistemas. Si detectan problemas, nos gustaría contar con su ayuda.

¿Qué podemos esperar unos de otros?

Comuniquen cualquier problema relacionado con la seguridad de los servicios que presta Robeco a través de Internet. Si descubren un problema o un punto débil, por favor, comuníquennoslo lo más rápidamente posible. Algunos ejemplos de vulnerabilidades que deben comunicarse:

  • vulnerabilidades de secuencias de comandos (scripts) entre sitios

  • vulnerabilidades de inyección de código SQL

  • vulnerabilidades de encriptación

¿Qué esperamos de ustedes?

Asegúrense de no causar ningún daño al investigar cualquier vulnerabilidad detectada. Su investigación no debe en ningún caso dar lugar a una interrupción de los servicios ni a la difusión pública de ningún dato, ya sea del gestor o de sus clientes.

¿Qué haremos con su comunicación?

Un equipo de expertos en seguridad investigará su informe y les responderá lo antes posible. Les pedimos que no hagan público el problema, sino que lo compartan con uno de nuestros expertos. Denles tiempo para resolver el problema. Les informaremos de nuestra evaluación de su aviso, de si vamos a proporcionarles una solución y de cuándo tendríamos previsto hacerlo.

Las reglas del juego

Existe el riesgo de que durante una investigación se realicen ciertas acciones que puedan resultar punibles. Si actúan de buena fe, con precaución y de acuerdo con las reglas de juego que les hemos indicado, no habrá motivo alguno para que Robeco les denuncie. Así pues, sigan las reglas que se indican en estas directrices de comunicación responsable y no actúen de manera desproporcionada:

  • No utilicen ingeniería social para obtener acceso a un sistema.

  • No habiliten una puerta trasera en ningún sistema de información para evidenciar la vulnerabilidad, ya que esto puede provocar mayores daños e implica riesgos innecesarios para la seguridad.

  • Hagan el mínimo uso posible de la eventual vulnerabilidad. Realicen únicamente las acciones que sean esenciales para delimitar el alcance la vulnerabilidad.

  • No modifiquen ni eliminen ningún dato del sistema, y adopten la máxima precaución al copiar datos (si basta un registro para evidenciar el problema, no hagan nada más).

  • No introduzcan ningún cambio en el sistema.

  • No intenten acceder repetidamente al sistema ni compartan con otras personas el acceso que hayan podido obtener.

  • No utilicen la llamada "fuerza bruta" para acceder a los sistemas. En realidad, esto no pone de manifiesto una vulnerabilidad, sino la capacidad de introducir diversas contraseñas repetidas veces.

¿Cómo deben enviar su comunicación?

Si han detectado una vulnerabilidad, pónganse en contacto con nosotros remitiéndonos el siguiente formulario.

¿Para qué no se debe utilizar el punto de comunicación?

El punto de comunicación no está destinado a:

  • la presentación de quejas relacionadas con servicios

  • informar de casos de fraude, o sospechas de los mismos, por haber recibido envíos falsos o correos electrónicos de phishing

  • informar sobre virus

  • presentar reclamaciones o consultas sobre la disponibilidad del sitio web

Describa sus hallazgos