Política de eliminación de información privada de GitHub

En este artículo

Ofrecemos este proceso de eliminación de información privada como un servicio excepcional sólo para contenido de alto riesgo que infrinja los Términos de Servicio de GitHub, como cuando su seguridad está en riesgo por la exposición de las credenciales de acceso. Esta guía describe la información que GitHub necesita de usted para procesar una solicitud para eliminar información privada de un repositorio.

¿Qué es la información privada?

A efectos de este documento, se entiende por «información privada» el contenido que (i) debería haberse mantenido confidencial, y (ii) cuya disponibilidad pública represente un riesgo de seguridad específico o concreto para usted o su organización.

"Riesgo de seguridad" se refiere a una situación que involucra exposición a peligro físico, robo de identidad o mayor probabilidad de acceso no autorizado a instalaciones físicas o de red.

Las solicitudes de eliminación de información privada son apropiadas para:

  • Credenciales de acceso, como nombres de usuario combinados con contraseñas, tokens de acceso u otros secretos confidenciales que pueden otorgar acceso al servidor, la red o el dominio de su organización.
  • Tokens de AWS y otras credenciales de acceso similares que otorgan acceso a un tercero en su nombre. Debe poder demostrar que la ficha le pertenece.
  • Documentación (como diagramas de red o arquitectura) que representa un riesgo de seguridad específico para una organización.
  • Información relacionada con usted y que, como individuo, supone un riesgo para la seguridad (como números del seguro social u otros números de identificación gubernamentales).

Las solicitudes de eliminación de información privada no son adecuadas para:

  • Nombres de servidores internos, direcciones IP y URL, por sí solos. Debe poder demostrar que su uso en un archivo o pieza de código en particular representa una amenaza para la seguridad.
  • Las meras menciones de la identidad, el nombre, la marca, el nombre de dominio de su empresa u otras referencias a su empresa en los archivos de GitHub. Debe ser capaz de articular por qué el uso de la identidad de su empresa es una amenaza para la postura de seguridad de su empresa.
  • Archivos completos o repositorios que no representan un riesgo de seguridad específico, pero que cree que son objetables.
  • Solicitudes para eliminar contenido que pueda infringir sus derechos de autor o los de su organización. Si tiene alguna pregunta sobre cómo gestiona GitHub las cuestiones relativas a los derechos de autor o si desea denunciar contenido potencialmente infractor, consulte nuestra Directiva de eliminación de la DMCA. El proceso de eliminación de información privada generalmente no está pensado para la eliminación de archivos o repositorios completos: solo para partes específicas de información privada en dichos archivos. Si bien puede haber casos en los que los archivos se llenen completamente con información privada, debe justificar el riesgo de seguridad por la eliminación de dichos archivos, y esto puede aumentar el tiempo necesario para procesar su solicitud.
  • Disputas de marcas registradas. Si tiene preguntas sobre cómo gestiona GitHub las cuestiones relativas a las marcas comerciales o desea informar sobre contenidos que incluyan marcas comerciales o de servicio de su organización, revise nuestra Directiva de Marcas Registradas.
  • Quejas de privacidad. Si desea acceder, transferir, modificar o eliminar su información personal en GitHub, póngase en contacto con nosotros a través de nuestro formulario de contacto de Privacidad.
  • Contenido que se rige por nuestras Directrices de la Comunidad, como malware o herramientas para fines generales. Si tiene preguntas acerca de nuestras Directrices de la Comunidad o cree que el contenido de GitHub podría infringir nuestras directrices, puede contactar con nosotros mediante el Portal de soporte de GitHub para informarse del contenido.

Cosas que saber

Pregunte educadamente primero. Un excelente primer paso antes de enviarnos una solicitud para eliminar datos es tratar de contactar al usuario directamente. Es posible que hayan enumerado la información de contacto en su página de perfil público o en el archivo LÉAME o de soporte del repositorio, o puede ponerse en contacto creando un problema o una solicitud de extracción en el repositorio. Esto no es estrictamente necesario, pero se agradece.

Sin bots. Debe hacer que un profesional capacitado evalúe los hechos de cada solicitud que envíe. Si está subcontratando sus esfuerzos a un tercero, asegúrese de saber cómo funcionan y asegúrese de que no estén utilizando bots automatizados para enviar quejas a granel. Estas quejas a menudo incluyen datos que no representan ninguna amenaza para la seguridad y no incluyen explicaciones suficientes, lo que requiere un intercambio adicional y genera demoras, incluso cuando la queja es válida.

Envíe la solicitud correcta. Como se indicó anteriormente, ofrecemos este proceso de eliminación de información privada como un servicio excepcional solo para contenido de alto riesgo. No podemos usar este proceso para eliminar otros tipos de contenido, como contenido potencialmente infractor, y no podemos procesar ningún otro tipo de solicitud de eliminación simultáneamente mientras procesamos solicitudes de eliminación de información privada. Podremos ayudarlo más rápidamente si envía sus solicitudes de eliminación de información privada por separado de cualquier solicitud para eliminar contenido potencialmente infractor. Si no está seguro de si su solicitud involucra solo información privada o también involucra otros asuntos legales, consulte a un asesor legal.

Tiempo de Procesamiento. Si bien procesamos las solicitudes de eliminación de información privada lo más rápido posible, debido al volumen de solicitudes que procesamos, puede llevar algún tiempo revisar su solicitud. Las solicitudes adicionales, o múltiples solicitudes de puntos de contacto adicionales, pueden ocasionar demoras.

¿Cómo funciona esto realmente?

  1. El demandante investiga. Corresponde a la parte solicitante llevar a cabo su propia investigación y facilitarnos los detalles que solicitamos y, lo más importante, una explicación de las razones por las que los datos suponen un riesgo para la seguridad. GitHub no está en condiciones de buscar o tomar determinaciones iniciales sobre información privada en nombre de ninguna persona u organización.

  2. El demandante envía una solicitud de eliminación de información privada. Después de llevar a cabo una investigación, el demandante prepara y envía una solicitud de eliminación de información privada a GitHub. Si la solicitud no es lo suficientemente detallada para demostrar el riesgo de seguridad y para que GitHub localice los datos, le responderemos y le pediremos más información.

  3. GitHub solicita al usuario que realice cambios. En la mayoría de los casos, nos pondremos en contacto con el usuario que creó el depósito y le daremos la oportunidad de eliminar o modificar la información privada especificada en la solicitud o de disputar la reclamación.

  4. El usuario notifica a GitHub los cambios. Si el usuario elige realizar los cambios especificados, debe comunicárnoslo dentro del período de tiempo que se le ha permitido. Si no lo hacen, deshabilitaremos el repositorio. Si el usuario nos notifica que realizó cambios, verificaremos que los cambios se hayan realizado y notificaremos al reclamante.

    O

  5. El usuario puede impugnar la solicitud. Si un usuario cree que el contenido en cuestión no es información privada sujeta a esta Política, puede disputarlo. Si lo hacen, generalmente dejaremos que el denunciante se comunique con el usuario y resuelva las cosas directamente con él, dentro de lo razonable.

  6. Cambios en las revisiones del demandante. Si el usuario realiza cambios, el reclamante debe revisarlos. Si los cambios son insuficientes, el reclamante debe proporcionar a GitHub detalles que expliquen por qué. GitHub puede deshabilitar el repositorio o darle al usuario una oportunidad adicional para realizar los cambios.

  7. El usuario puede solicitar un plazo adicional para realizar los cambios. Si el usuario perdió la oportunidad de eliminar la información privada especificada en el aviso, podemos permitirle una ventana adicional de aproximadamente 1 día hábil, previa solicitud, para realizar esos cambios. En ese caso, GitHub notificará al denunciante.

¿Qué pasa con las horquillas? (o ¿Qué es un tenedor?)

Una de las mejores características de GitHub es la capacidad de los usuarios de "bifurcar" los repositorios de los demás. ¿Qué significa eso? En esencia, significa que los usuarios pueden hacer una copia de un proyecto en GitHub en sus propios repositorios. Según lo permita la licencia o la ley, los usuarios pueden realizar cambios en esa bifurcación para retroceder al proyecto principal o simplemente mantener su propia variación de un proyecto. Cada una de estas copias es un Glosario de GitHub del repositorio original, que a su vez también puede llamarse «matriz» de la bifurcación.

GitHub no deshabilitará automáticamente las bifurcaciones cuando deshabilite un repositorio matriz. Esto se debe a que las bifurcaciones pertenecen a diferentes usuarios y pueden haber sido alteradas de manera significativa. GitHub no realiza ninguna investigación independiente sobre las bifurcaciones. Esperamos que quienes envían solicitudes de eliminación de información privada realicen esa investigación y, si creen que las bifurcaciones también contienen información privada, las incluyan expresamente en su solicitud.

Si en el momento en que envió su notificación, identificó todas las bifurcaciones existentes de ese repositorio, procesaríamos un reclamo válido contra todas las bifurcaciones en esa red en el momento en que procesemos la notificación. Haríamos esto dada la probabilidad de que todas las bifurcaciones recién creadas tuvieran el mismo contenido. Además, si la red informada que contiene el contenido informado tiene más de cien (100) repositorios y, por lo tanto, sería difícil revisarla en su totalidad, podemos considerar deshabilitar toda la red si indica en su aviso que, en base a la número representativo de bifurcaciones que ha revisado, cree que todas o la mayoría de las bifurcaciones contienen el contenido informado en el repositorio principal.

Envío de una solicitud de eliminación de información privada

Debido al tipo de contenido que aloja GitHub (principalmente código de software) y la forma en que se administra el contenido (con Git), necesitamos que las quejas sean lo más específicas posible. Para que podamos verificar que un usuario ha eliminado completamente la información privada informada, necesitamos saber exactamente dónde buscar.

Estas pautas están diseñadas para hacer que el procesamiento de solicitudes para eliminar información privada sea lo más sencillo posible.

Su solicitud debe incluir:

  1. Un enlace funcional en el que se puede hacer clic para cada archivo que contiene información privada. (Tenga en cuenta que no podemos trabajar a partir de resultados de búsqueda, ejemplos o capturas de pantalla).
  2. Números de línea específicos dentro de cada archivo que contiene la información privada.
  3. Una breve descripción de cómo cada elemento que ha identificado representa un riesgo de seguridad para usted o su organización. Es importante ofrecer una explicación de por qué los datos suponen un riesgo para la seguridad más allá de limitarse a indicar que lo hacen.
  4. Si es un tercero que actúa como agente de una organización que enfrenta un riesgo de seguridad, incluya una declaración de que tiene el derecho legal de actuar en nombre de esa organización.
  5. OPCIONAL: Díganos si su solicitud es especialmente urgente y por qué. Respondemos a todas las solicitudes de eliminación de información privada lo más rápido posible. Sin embargo, si esta solicitud es especialmente urgente, como una exposición de credenciales muy reciente, explique por qué.

Cómo enviar su solicitud

Puede enviar su solicitud para eliminar información privada a través de nuestro formulario de contacto. Incluya una versión de texto sin formato de su solicitud en el cuerpo de su mensaje. Enviar su solicitud en un archivo adjunto puede provocar demoras en el procesamiento.

Disputas

Si ha recibido una solicitud de eliminación de información privada por nuestra parte, puede impugnarla respondiendo a nuestro correo electrónico y haciéndonos saber, con el máximo detalle posible, por qué cree que el contenido en cuestión no es información privada sujeta a esta Directiva.