Términos y políticas
Declaración relativa a la revelación responsable de Catawiki

Gracias por dedicarle tiempo a participar en nuestro Programa de Revelación Responsable. 

En Catawiki consideramos que la seguridad de nuestros sistemas es una prioridad absoluta. A la hora de desarrollar y prestar nuestros servicios, la seguridad tiene un papel clave.

Más abajo puedes ver nuestras directrices para informar sobre errores de calidad a Catawiki, las cuales nos permitirán abordarlos de forma eficaz.

Entre los recursos sobre los que tenemos control hay https://www.catawiki.com o páginas derivadas del inicio de sesión en la plataforma https://www.catawiki.com. NO se incluyen aplicaciones de terceros que sí utilizamos pero que no controlamos directamente. Por ejemplo, cualquier web de blogs, carreras profesionales o marketing que no esté alojada con el dominio de Catawiki o GCP, o cualquier vulnerabilidad de la plataforma en la nube.


Lo que nos gustaría que hicieras

  • Informar sobre vulnerabilidades con puntuaciones CVE, si las tienen, que sean aplicables a nuestro sitio web y sobre cómo pueden utilizarse.
  • Enviar videos y fotos incluidos en lo que reportas. ¡Se agradecen enormemente!
  • Enviar ejemplos de la posibilidad de subir archivos maliciosos dentro de nuestra plataforma.
  • Informar sobre puertos o servicios de red vulnerables.
  • Informar sobre vulnerabilidades en las que la validación, CSRF u otro falla y se permite la omisión o elusión de los controles de seguridad.


Lo que no debes hacer

  • No informes sobre vulnerabilidades detectadas por herramientas o escáneres de terceros sin una prueba de concepto de dar como resultado explotación.
  • No informes sobre vulnerabilidades de contraseñas que se exploten empleando fuerza bruta, ataques a diccionarios u otros modos de averiguación de contraseñas.
  • No intentes ningún ataque de denegación de servicio distribuido (DDoS) ni otros ataques que agoten recursos.
  • No intentes realizar ataques de correo basura a menos que una vulnerabilidad incluya el envío fácil de correo basura.
  • No informes sobre vulnerabilidades relacionadas con la verificación de cuenta o política de contraseñas.
  • No informes sobre vulnerabilidades relacionadas con un ataque Self-XSS.
  • No informes sobre vulnerabilidades relacionadas con un registro de autorización de autoridad certificadora (CAA) que falte para un nombre de dominio de Catawiki.

En el caso de que no hayas respetado nuestro código de conducta anterior, Catawiki se reserva el derecho de emprender acciones legales contra ti. Este código de conducta para notificar vulnerabilidades de seguridad en Catawiki está sujeto a la legislación neerlandesa.

Además, no utilices la plataforma BugCrowd para ninguna pregunta o queja relacionada con los servicios de Catawiki o el material del usuario de la plataforma. Si tienes alguna pregunta o queja que no esté relacionada con la vulnerabilidad de seguridad de nuestros sistemas, consulta nuestra página de ayuda más a fondo y ponte en contacto con nuestros equipos de Atención al cliente si fuera necesario.

Para participar en nuestro Programa de Revelación Responsable, inicia sesión o créate una cuenta de hacker en BugCrowd.


Protección de datos

El Programa de Revelación Responsable está sujeto a la Política de privacidad de Catawiki. No obstante, has de tener en cuenta que únicamente se tratan datos personales limitados en relación con lo que nos reportas. Catawiki utiliza BugCrowd para respaldar el reporte de vulnerabilidades, algo que puedes hacer usando tus credenciales de BugCrowd. Si tienes una cuenta, Catawiki podrá ver tu nombre de usuario, pero ningún otro dato personal vinculado a tu cuenta. Todos los datos que se incluyen al informar sobre una vulnerabilidad se tratarán en nuestro sistema interno de tickets, y nuestro equipo de seguridad y otro personal técnico pertinente tendrán acceso a ellos. 

¿Te ha resultado útil este artículo?
Contacta con nosotros