Skip to main content

Marco de Seguridad Legal del Programa de Recompensa por la Detección Errores de GitHub

Resumen

  1. Queremos que coordine la revelación a través de nuestro programa de recompensa por la detección de errores y no queremos que los investigadores teman consecuencias legales por sus iniciativas de buena fe de cumplir nuestra directiva de recompensa por la detección de errores. No podemos vincular a terceros, por lo tanto no se debe suponer que esta protección se extiende a ningún tercero. En caso de duda, pregúntenos antes de participar en cualquier acción específica que piense que pudiera salirse de los límites de nuestra directiva.
  2. Dado que tanto la información que permite la identificación como la no identificable pueden poner en riesgo a un investigador, limitamos los datos que compartimos con terceros. Podemos proporcionar información sustancial no identificable de su informe a un tercero afectado, pero solo después de notificárselo a usted y de suscribir el compromiso de que el tercero no emprenderá acciones legales contra usted. Solo compartiremos información que permita la identificación (nombre, dirección de correo electrónico, número de teléfono, etc.) con un tercero si nos da su permiso por escrito.
  3. Si su investigación de seguridad como parte del programa de recompensa por la detección de errores infringe determinadas restricciones de las directivas de nuestro sitio, los términos del marco de seguridad permiten una exención limitada.

1. Términos de Safe Harbor

Para fomentar la investigación y la revelación coordinada de las vulnerabilidades en materia de seguridad, no emprenderemos acciones civiles ni penales, ni enviaremos notificaciones a las fuerzas del orden por infracciones accidentales o de buena fe de esta directiva. Consideramos que las actividades de investigación de seguridad y revelación de vulnerabilidades realizadas de conformidad con esta directiva son conductas «autorizadas» en virtud de la Ley sobre fraude y abuso informáticos (CFAA, Computer Fraud and Abuse Act), la DMCA y otras leyes de uso de la informática aplicables, como el apartado 502(c) del Código Penal de California (EE. UU.). Renunciamos a cualquier demanda potencial en virtud de la DMCA contra usted por eludir las medidas tecnológicas que hemos utilizado para proteger las aplicaciones en el ámbito de este programa de recompensa por la detección de errores.

Entienda que si su investigación de seguridad implica las redes, sistemas, información, aplicaciones, productos o servicios de un tercero (que no seamos nosotros), no podemos obligar a ese tercero y que este podría emprender acciones legales o un aviso de ejecución legal. No podemos y no autorizamos la investigación de seguridad en nombre de otras entidades y no podemos ofrecerle de ninguna manera defenderlo, indemnizarlo o protegerlo frente a cualquier acción de terceros a raíz de sus acciones.

Cabe esperar, como siempre, que cumpla todas las leyes aplicables y que no altere ni ponga en riesgo ningún dato más allá de lo permitido por este programa de recompensa por la detección errores.

Póngase en contacto con nosotros antes de participar en conductas que puedan ser discordantes con esta directiva o que no estén contempladas en ella. Nos reservamos el derecho exclusivo de determinar si una infracción de esta directiva es accidental o de buena fe y el contacto proactivo con nosotros antes de emprender cualquier acción es un factor a tener en cuenta en dicha decisión. En caso de duda, pregúntenos primero.

2. Safe Harbor de terceros.

Si envía un informe a través de nuestro programa de recompensa por la detección errores que afecte a un servicio de terceros, limitaremos los datos que compartimos con cualquier tercero afectado. Podemos compartir el contenido no identificable de su informe con un tercero afectado, pero solo después de notificarle que tenemos la intención de hacerlo y de obtener el compromiso por escrito del tercero de que no emprenderá acciones legales contra usted ni se pondrá en contacto con las fuerzas del orden a causa de su informe. No compartiremos información de identificación con ningún tercero afectado sin obtener previamente su permiso por escrito para ello.

Tenga en cuenta que no podemos autorizar pruebas fuera del ámbito en nombre de terceros y que dichas pruebas son ajenas al ámbito de nuestra directiva. Consulte la directiva de recompensa por la detección errores de ese tercero, si la hubiera, o póngase en contacto con el tercero, ya sea directamente o a través de un representante legal, antes de iniciar cualquier prueba sobre ese tercero o sus servicios. Esto no es, y no debe entenderse como, ningún acuerdo por nuestra parte para defenderlo, indemnizarlo o protegerlo en modo alguno frente a cualquier acción de terceros a raíz de sus acciones.

Dicho esto, si algún tercero inicia una acción legal, incluida la aplicación de la ley, contra usted debido a su participación en este programa de recompensa por la detección de errores y usted ha cumplido suficientemente nuestra directiva de recompensa por la detección de errores (es decir, no se han producido infracciones intencionadas o de mala fe), tomaremos medidas para hacer saber que sus acciones se llevaron a cabo de conformidad con esta directiva. Aunque consideramos que los informes presentados son documentos confidenciales y potencialmente privilegiados, así como protegidos contra una revelación obligatoria en la mayoría de las circunstancias, por favor tenga en cuenta que un tribunal podría, a pesar de nuestras objeciones, ordenarnos compartir la información con un tercero.

3. Renuncia limitada a otras directivas del sitio

En la medida en que sus actividades de investigación de seguridad sean incoherentes con determinadas restricciones de las directivas pertinentes del sitio, pero sean coherentes con los términos de nuestro programa de recompensa por la detección de errores, renunciamos a dichas restricciones con el único y limitado propósito de permitir su investigación de seguridad en virtud de este programa de recompensa por la detección de errores. Al igual que en el caso anterior, en caso de duda, pregúntenos primero.