Esta política regula todas y cada una de las violaciones o vulnerabilidades relacionadas a la seguridad de la información ocurridas dentro de las operaciones de las filiales de Globant y otras entidades controladas.

Esta política establece los procesos para informar al personal de Globant sobre cualquier violación de datos, sospecha de violación de datos o vulnerabilidad encontrada en los sistemas de Globant. Una violación de datos implica la pérdida, el acceso no autorizado o la divulgación no autorizada de información personal. Una vulnerabilidad es cualquier defecto que pueda encontrarse en un sistema que podría provocar una violación de datos o una interrupción del servicio prestado.

El cumplimiento de este Procedimiento y Plan de Respuesta garantizará que Globant pueda contener, evaluar y responder a las violaciones de datos o vulnerabilidades de manera expedita y mitigar el daño potencial que éstas puedan producir.

Para Globant mantener la confidencialidad, integridad y disponibilidad de nuestra información y nuestros sistemas es sumamente importante. Agradecemos el trabajo realizado por los investigadores de seguridad que nos ayudan a mejorar nuestras medidas de seguridad. Es por ello que queremos tener un proceso claro para informar acerca de vulnerabilidades o violaciones de seguridad. Todas las vulnerabilidades y/o violaciones de seguridad deben informarse a: vulnerabilities@globant.com

Globant invita a los investigadores de seguridad a informar cualquier vulnerabilidad o violación de seguridad que crean haber encontrado. Todos los informes enviados de conformidad con esta política serán investigados y cualquier problema que pueda surgir se resolverá lo antes posible. Si el investigador hace un esfuerzo de buena fe para cumplir con esta política durante su investigación de seguridad, consideraremos que su investigación está autorizada, trabajaremos con el investigador para comprender y resolver el problema rápidamente y no recomendaremos ni iniciaremos acciones legales relacionadas con su investigación.

Las siguientes listas describen las acciones que los investigadores deben, pueden y no deben realizar en sus métodos de evaluación:

Los investigadores de seguridad deben:

  • detener las pruebas y notificarnos de inmediato al descubrir una vulnerabilidad.
  • detener las pruebas y notificarnos de inmediato al descubrir información expuesta que sea de carácter privado.
  • purgar toda información de Globant de carácter privado almacenada al informar una vulnerabilidad.

Los investigadores de seguridad pueden:

  • ver o almacenar la información de Globant de carácter privado solo en la medida necesaria para documentar la presencia de una posible vulnerabilidad.

Los investigadores de seguridad no deben:

  • realizar pruebas en sistemas que no estén en el listado de sistemas que se encuentra a continuación.
  • divulgar información sobre vulnerabilidades, excepto según lo establecido en las secciones "Informar una vulnerabilidad" y "Divulgación" a continuación.
  • participar en la realización de pruebas físicas de instalaciones o recursos.
  • participar en prácticas de ingeniería social.
  • enviar correos electrónicos no solicitados a los usuarios de Globant, incluyendo mensajes de "phishing."
  • eejecutar o intentar ejecutar ataques de "Denegación de Servicio" (DoS) o "Agotamiento de Recursos."
  • introducir software malicioso.
  • realizar pruebas de una manera que pueda degradar el funcionamiento de los sistemas de Globant; o dañar, interrumpir o deshabilitar intencionalmente los sistemas de Globant.
  • eliminar, alterar, compartir, retener o destruir la información de Globant, o hacer que ésta sea inaccesible.
  • utilizar un exploit para extraer información, establecer el acceso a la línea de comandos o establecer una presencia persistente en los sistemas de Globant.

Hemos determinamos que los siguientes sistemas pueden ser investigados:

Los investigadores pueden enviar informes de forma anónima, aunque cualquier método de contacto posible es bienvenido para aclarar cualquier información acerca de la vulnerabilidad reportada u otro intercambio técnico.

Al informar una vulnerabilidad o una violación de seguridad, la inclusión de una descripción técnica detallada de los pasos para reproducirla, incluyendo las herramientas, imágenes y cualquier otra documentación que pueda adjuntarse a los informes es ideal.

La información que debe proporcionarse (si se conoce) a esta altura incluye:

  1. Cuándo se produjo la violación o se explotó la vulnerabilidad (fecha y hora).
  2. Descripción de la violación/vulnerabilidad (el tipo de información personal involucrada).
  3. Causa de la violación, si se conoce; caso contrario, cómo se descubrió.
  4. ¿Qué sistemas se ven afectados, si los hay?
  5. ¿Qué proyecto/área/tarea está involucrada?

 

Globant determinará la gravedad según los siguientes criterios:

  1. El tipo y alcance de la información personal involucrada
  2. Si varias personas se han visto afectadas
  3. Si la información está protegida por alguna medida de seguridad (contraseñas o cifrado).
  4. La persona o tipos de personas que ahora tienen acceso
  5. Si existe (o podría existir) un riesgo real de daño grave para las personas afectadas.
  6. Si la violación o sospecha de violación podría llamar la atención de los medios o de las partes interesadas