Alert Message Icon

Por favor, actualice tu navegador.

Tu navegador no está actualizado. Para disfrutar de una experiencia por Internet más rapida y más segura, actualiza tu navegador a la versión más reciente. Haz clic aquí para ver una lista de navegadores recomendados

Begin Site Message Content
Alert Message Icon
End Site Message Content

Le hemos firmado de su cuenta

Logoff Estamos cerrando tu sesión

Programa de Divulgación Responsable de JPMorgan Chase

Programa de divulgación responsable de JPMorgan Chase

Comprometidos con el trabajo en equipo

Queremos que te comuniques si tienes información relacionada con vulnerabilidades de seguridad potenciales de los productos y servicios de JPMorgan Chase. Valoramos tu trabajo y te agradecemos de antemano por tu contribución.

Cómo informar una vulnerabilidad

Por favor, envía tu vulnerabilidad por email a responsible.disclosure@jpmchase.com. El informe debe incluir una descripción detallada de tu descubrimiento con pasos claros, concisos y reproducibles y/o con una validación del concepto que funcione. Si no explicas la vulnerabilidad en detalle, nuestra respuesta puede demorarse.

Envío

Al enviar tu informe a JPMorgan Chase, aceptas no divulgar la vulnerabilidad a terceros. Otorgas permiso por tiempo indefinido y sin condiciones a JPMorgan Chase y a sus subsidiarios para usar, modificar, crear obras derivadas, distribuir, divulgar y guardar la información suministrada en tu informe, o para encargar a otros que lo hagan en nombre de JPMorgan Chase, y estos derechos son irrevocables. Declaras que el informe es de tu creación y que eres titular de todos los derechos, títulos e intereses del envío.

Tabla de clasificación

Para reconocer a los socios de investigación, JPMorgan Chase puede destacar a los investigadores que hagan contribuciones significativas. Por la presente, otorgas a JPMorgan Chase el derecho de mostrar tu nombre en la tabla de clasificación de JPMorgan Chase y en otros medios que JPMorgan Chase escoja para publicarlo.

Pautas

JPMorgan Chase acepta no presentar reclamaciones contra los investigadores que divulguen vulnerabilidades potenciales de este programa, siempre que el investigador:

  • no cause daño a JPMorgan Chase, a nuestros clientes o a otros;
  • no inicie una transacción financiera fraudulenta;
  • no guarde, comparta, comprometa ni destruya datos de JPMorgan Chase o de los clientes;
  • proporcione un resumen detallado de la vulnerabilidad, incluido el objetivo, los pasos, las herramientas y los artefactos usados durante el descubrimiento (el resumen detallado nos permitirá reproducir la vulnerabilidad);
  • no comprometa la privacidad o seguridad de nuestros clientes ni el funcionamiento de nuestros servicios;
  • no viole ninguna ley o regulación nacional, estatal o local;
  • no divulgue públicamente los detalles de la vulnerabilidad sin el permiso por escrito de JPMorgan Chase;
  • no se encuentre actualmente ubicado o sea residente habitual de Cuba, Irán, Corea del Norte, Sudán, Siria o Crimea;
  • no esté en la Lista de Ciudadanos Especialmente Designados del Departamento del Tesoro de los EE. UU.;
  • no sea empleado ni familiar inmediato de un empleado de JPMorgan Chase o sus subsidiarias; y
  • tenga al menos 18 años de edad.

Vulnerabilidades fuera de ámbito

Algunas vulnerabilidades se consideran fuera de ámbito en nuestro Programa de Divulgación Responsable.  Las vulnerabilidades fuera de ámbito incluyen:

  • Las vulnerabilidades que dependen de técnicas de ingeniería social (p. ej., espiar información [shoulder surfing], robo de dispositivos, suplantación de identidad (phishing), fraude, robo de credenciales)
  • Encabezado de host
  • Denegación de servicio (DOS)
  • Estafa Self-XSS (carga útil definida por el usuario)
  • Falsificación de solicitud entre sitios (CSRF) de inicio/cierre de sesión
  • Suplantación de identidad de contenido sin enlaces/HTML incorporados
  • Vulnerabilidades que requieren un dispositivo móvil modificado (jailbroken)
  • Vulnerabilidades de infraestructura, entre ellas:
  • Problemas relacionados con certificados/Seguridad de la capa de transporte (TLS)/Capa de sockets seguros (SSL)
  • Problemas de Sistema de nombres de dominio (DNS) (p. ej., registros mx, registros SPF, etc.)
  • Problemas de configuración de servidor (p. ej., puertos abiertos, TLS, etc.)
  • La mayoría de las vulnerabilidades en nuestros entornos de espacio aislado, de laboratorio o de ensayo.
  • Cualquier ataque físico contra bienes o centros de datos de JPMorgan Chase
  • Secuestro de clic (Clickjacking)
  • Suplantación de identidad de contenido/inyección de texto

Procesaremos todos los informes y es posible que nos comuniquemos contigo si necesitamos más información.

Te solicitamos que mantengas la confidencialidad de toda la información relativa a la vulnerabilidad.