Descripción general
Los investigadores independientes de seguridad desempeñan un papel muy importante en la seguridad de Internet. Como resultado, instamos a la información responsable sobre cualquier vulnerabilidad que se encuentre en nuestro sitio o aplicaciones. Salesforce reitera su colaboración con los investigadores de seguridad para verificar y solucionar cualquier posible vulnerabilidad de la que se haya informado.
Como parte involucrada en la revelación responsable de datos, Salesforce envía una notificación a cualquier cliente que pueda verse afectado cuando tenga que actuar para solucionar o remediar de cualquier otra forma una vulnerabilidad antes de revelarla públicamente y de publicar un informes de vulnerabilidades y exposiciones comunes, o Common Vulnerabilities and Exposures (CVE®).
Revise estas condiciones antes de probar o informar sobre una vulnerabilidad. Salesforce se compromete a no iniciar ninguna acción legal contra aquellos investigadores que se infiltren en nuestros sistemas o lo intenten, siempre y cuando cumplan esta política.
¡Gracias a todos por vuestras aportaciones!
Valoramos a aquellos que comparten la confianza como valor número 1. Consulte la lista de clientes y usuarios que han ayudado a mejorar la seguridad general de Salesforce.
Vea la lista de contribuidores a la investigación de seguridad >
Más información sobre nuestra política
Pruebas de vulnerabilidades de seguridad
Siempre que haya una edición de prueba o para desarrolladores disponible, realice las pruebas de vulnerabilidad en esas instancias. Utilice siempre cuentas de prueba o demostración al probar nuestros servicios en línea. Si desea información sobre las evaluaciones, requisitos, restricciones y programas de seguridad, revise la Evaluación de vulnerabilidad y prueba de intrusión. Revise los artículos de Ayuda >
Informar sobre una posible vulnerabilidad de seguridad
Comparta por privado todos los datos de la vulnerabilidad con el equipo de Seguridad de Salesforce para que podamos validar y reproducir el problema. Envíe un correo electrónico a Seguridad de Salesforce >
Salesforce no permite realizar los siguientes tipos de investigaciones de seguridad
Aunque le animamos a detectar e informarnos sobre cualquier vulnerabilidad que encuentre de manera responsable, queda expresamente prohibido lo siguiente:
- La realización de acciones que puedan afectar negativamente a Salesforce o a sus usuarios (p. ej., spam, ataque por fuerza bruta o de denegación de servicio, entre otras)
- El acceso o intento de acceso a datos o información que no sea de su propiedad
- La destrucción o daño o intento de destrucción o daño de datos o información que no sea de su propiedad
- La realización de cualquier ataque físico o electrónico contra el personal, la propiedad o los centros de datos de Salesforce
- La realización de ingeniería social con cualquier centro de atención, empleado o contratista de Salesforce
- La realización de pruebas de vulnerabilidad en servicios participantes utilizando cualquier cuenta que no sea de prueba (por ej. instancias de las ediciones Developer o Trial)
- La infracción de cualquier normativa o acuerdo para descubrir vulnerabilidades
Compromiso del equipo de Seguridad de Salesforce
Le pedimos que no publique ni comparta ninguna vulnerabilidad no resuelta con terceros. Si envía un informe de vulnerabilidad de manera responsable, el equipo de Seguridad de Salesforce y las organizaciones de desarrollo a él asociadas realizarán todas las acciones razonables para:
- Responder de forma oportuna, acusando recibo de su informe de vulnerabilidad
- Proporcionar un espacio de tiempo aproximado para resolver el informe de vulnerabilidad
- Informarle cuando la vulnerabilidad se haya corregido