Seguridad y Privacidad en Sked Social

Sked Social toma muy en serio la seguridad y la privacidad de todos nuestros clientes. Usamos la herramienta de cumplimiento de seguridad Drata para proporcionar monitoreo continuo de nuestro enfoque de GRC, incluyendo:

  • Controles de seguridad y monitoreo de infraestructura (como políticas de cifrado y cortafuegos) implementados.
  • Procesos para el acceso a datos de empleados y contratistas (como verificaciones de antecedentes),
  • Políticas internas sobre cómo procesamos y gestionamos nuestro código y datos internos, y
  • Claridad en nuestros Términos y Política de Privacidad sobre cómo manejamos los datos.

Sked completó con éxito nuestra certificación SOC 2 Tipo 2 el 13 de febrero de 2025, con una auditoría independiente exitosa realizada por la firma de CPA Assurance Lab. SOC 2 representa un alto estándar reconocido globalmente para demostrar nuestro compromiso de proteger los activos de información crítica de nuestros clientes. SOC 2 es similar a otros marcos como ISO 27001.

El acceso a nuestros informes de auditoría, políticas y procedimientos, o la certificación de atestación está disponible a pedido para clientes empresariales. 

Por favor, hable con ventas o éxito del cliente (según corresponda) si necesita acceso a estos datos.

Sked es una empresa australiana y adhiere a los Principios de Privacidad Australianos, que son sustancialmente similares al GDPR y otras regulaciones de privacidad en otras jurisdicciones. Vea nuestra Política de Privacidad para más detalles. También tenemos otras obligaciones regulatorias con reguladores como las obligaciones de notificación de violaciones de datos con la Oficina del Comisionado de Información de Australia.

Política de divulgación de vulnerabilidades

Sked Social está comprometido a garantizar la seguridad de nuestros clientes y empleados. Nos esforzamos por fomentar un entorno de confianza y una asociación abierta con la comunidad de seguridad, y reconocemos la importancia de las divulgaciones de vulnerabilidades y los denunciantes para seguir garantizando la seguridad para todos nuestros clientes, empleados y empresa. 

Hemos desarrollado esta política para reflejar tanto nuestros valores corporativos como para cumplir con nuestra responsabilidad legal hacia los investigadores de seguridad de buena fe que nos brindan su experiencia y denunciantes que añaden una capa adicional de seguridad a nuestra infraestructura.

Cómo enviar una vulnerabilidad

Para enviar un informe de vulnerabilidad al Equipo de Seguridad de Producto de Sked Social, por favor use el correo electrónico [email protected].

Preferencias, Priorización y Criterios de Aceptación

Usaremos los criterios de las siguientes secciones para priorizar y clasificar las presentaciones.

Lo que nos gustaría ver de usted

  • Los informes bien redactados en inglés tendrán una mayor probabilidad de resolución.
  • Los informes que incluyan código de prueba de concepto nos permiten mejor clasificar.
  • Los informes que incluyan solo volcados de errores u otros resultados de herramientas automáticas pueden recibir menor prioridad.
  • Los informes que incluyan productos que no están en la lista inicial de alcance pueden recibir menor prioridad.
  • Por favor incluya cómo encontró el error, el impacto y cualquier posible remediación.
  • Por favor incluya cualquier plan o intención para su divulgación pública.

Lo que puede esperar de Sked Social

  • Una respuesta oportuna a su correo electrónico (dentro de 2 días hábiles).
  • Después de clasificar, enviaremos un cronograma esperado y nos comprometemos a ser lo más transparentes posible sobre el cronograma de remediación, así como sobre asuntos o desafíos que puedan extenderlo.
  • Un diálogo abierto para discutir asuntos.
  • Notificación cuando el análisis de vulnerabilidad haya completado cada etapa de nuestra revisión.
  • Crédito después de que la vulnerabilidad haya sido validada y corregida.

Si no podemos resolver problemas de comunicación u otros problemas, Sked Social puede involucrar a un tercero neutral para ayudar a determinar la mejor manera de manejar la vulnerabilidad.

Tenga en cuenta que actualmente no compensamos a investigadores externos (es decir, aquellos que no están comprometidos directamente por Sked Social para fines de investigación o evaluación de seguridad) a través de recompensas por errores o similares por sus informes.

Postura legal

Sked Social no emprenderá acciones legales contra aquellos que envíen informes de vulnerabilidad a través de nuestro buzón de denuncia de vulnerabilidades. Aceptamos abiertamente informes de los productos actualmente listados de Sked Social. Estamos de acuerdo en no emprender acciones legales contra personal que:

  • Participen en pruebas de sistemas / investigaciones sin dañar a Sked Social o a sus clientes.
  • Participen en pruebas de vulnerabilidad dentro del alcance de nuestro programa de divulgación de vulnerabilidades.
  • Prueben productos sin afectar a los clientes, o reciban permiso / consentimiento de los clientes antes de realizar pruebas de vulnerabilidad en sus dispositivos / software, etc.
  • Cumplan con las leyes de su lugar de residencia y del lugar de Sked Social.
  • Se abstengan de divulgar detalles de vulnerabilidades al público antes de que haya expirado el plazo acordado de mutuo acuerdo.

Solicitamos que los investigadores de seguridad se adhieran a nuestros Términos de Servicio.

Política de denuncia de irregularidades

Cómo enviar un informe

Para reportar de forma anónima una violación del programa de seguridad de la información o una violación de leyes y regulaciones relacionadas, por favor contacte a nuestro consejero externo Paul Noonan por el correo electrónico [email protected].

Preferencias, Priorización y Criterios de Aceptación

Usaremos los criterios de las siguientes secciones para priorizar y revisar presentaciones

Lo que esperamos de usted

  • Informe detallado realizado de buena fe o basado en una creencia razonable. Buena Fe significa la presentación veraz de una violación relacionada con las políticas, procedimientos o regulaciones de seguridad de la información de la empresa, en lugar de un informe realizado con indiferencia imprudente o ignorancia deliberada de los hechos. Creencia Razonable se refiere a la creencia subjetiva en la verdad de la divulgación Y que cualquier persona razonable en una situación similar objetivamente lo creería basado en los hechos.
  • Detalles de la violación (es decir, qué, cómo, por qué).
  • Detalles del evento reportado, con hechos (es decir, quién, dónde, cuándo).
  • No es responsable de investigar la supuesta violación ni de determinar la culpa o las medidas correctivas.

Lo que puede esperar de Sked-Social

  • Su informe será enviado al comité de seguridad para su revisión.
  • Protección de su identidad y confidencialidad. (nota: Puede ser necesario revelar su identidad cuando una investigación a fondo, el cumplimiento de la ley o el debido proceso de los miembros acusados sea requerido).
  • Protección contra cualquier forma de represalia y acoso, como despidos, disminución de compensaciones, malas asignaciones de trabajo y amenazas de daño físico.
  • Si usted cree que está siendo objeto de represalias, contacte de inmediato al asesor externo.
  • Cualquier represalia o acoso contra usted resultará en acción disciplinaria. (nota: Su derecho a la protección contra represalias no incluye inmunidad por cualquier infracción personal reportada en el informe e investigada.)
  • Debido proceso para usted y para el(los) miembro(s) acusado(s).
  • Acciones correctivas tomadas para resolver una violación verificada y una revisión y mejora de las políticas y procedimientos aplicables, si es necesario o apropiado.
  • Entrenamiento continuo sobre consciencia de seguridad de la información y comprendiendo sus derechos como denunciante.

Última actualización 21 noviembre 2024.