[+] Estándares y Política Ética
En Pentesting Al Palo llevamos a cabo nuestros servicios adoptando estándares de seguridad para mantener la confidencialidad de los datos e información de nuestras operaciones. Nuestro enfoque está basado en el uso de marcos reconocidos internacionalmente y prácticas éticas sólidas para garantizar la confianza de nuestros clientes.
[+] Estándares que utilizamos
🟢 Estándar de vulnerabilidades (CVE Program, OWASP, NVD - National Vulnerability Database):
Nos basamos en CVE Program, OWASP y NVD para identificar, clasificar y priorizar vulnerabilidades de seguridad, asegurando que nuestros análisis cubran las amenazas más relevantes y actualizadas del sector.
🌐 https://www.cve.org/
🌐 https://owasp.org/
🌐 https://nvd.nist.gov/
🟢 Gestión de la divulgación de vulnerabilidades (ISO/IEC 29147):
Seguimos este estándar para gestionar de manera responsable la divulgación de vulnerabilidades descubiertas, promoviendo la comunicación segura entre las partes interesadas. Proveer información precisa al momento de reportar una vulnerabilidad y los pasos para su gestión. Mantener la confidencialidad de la información durante todo el proceso del trabajo pactado.
🟢 Seguridad de la información (ISO/IEC 27001):
Este estándar nos guía en la implementación de un sistema de gestión de seguridad de la información (SGSI) para proteger los activos de nuestros clientes y garantizar un enfoque sistemático en la gestión de riesgos.
🟢 Encriptado con clave GPG
Para el envío de nuestros informes utilizamos cifrado y firma digital mediante claves GPG. Esta medida garantiza la confidencialidad de la información sensible contenida en los documentos, así como la autenticidad del remitente y la integridad del archivo durante la transferencia.
[+] Política Ética
En Pentesting Al Palo, entendemos que la confianza es la piedra angular de nuestros servicios de pentesting y consultoría en ciberseguridad. Por ello, hemos adoptado un compromiso ético sólido y una política de divulgación responsable que garantizan la seguridad y confidencialidad de nuestros clientes en cada servicio.
🟢 Compromiso ético y responsable:
Los escaneos y análisis de vulnerabilidades realizados sobre infraestructura expuesta a internet tienen un enfoque exclusivamente ético y responsable. Su propósito es identificar posibles amenazas de seguridad para notificarlas a la organización correspondiente, facilitando su remediación oportuna. Esta labor contribuye a proteger tanto los activos de la empresa como los derechos y la información de sus usuarios.
[+] Política de Divulgación Responsable
Como parte de nuestra responsabilidad hacia la comunidad tecnológica y nuestros clientes, seguimos una política de divulgación responsable que establece procedimientos claros para gestionar y comunicar las vulnerabilidades descubiertas:
🟢 Notificación privada:
Todas las vulnerabilidades identificadas durante nuestras evaluaciones pertenecientes a la contratación de uno de nuestros servicios son comunicadas exclusivamente al cliente, proporcionando un informe detallado con recomendaciones específicas para su mitigación.
🟢 Colaboración proactiva:
Trabajamos de cerca con el cliente para priorizar y resolver las vulnerabilidades críticas antes de que puedan ser explotadas por actores malintencionados.
🟢 Protección de datos:
Nos aseguramos de que cualquier información relacionada con las vulnerabilidades se mantenga confidencial y no sea divulgada a terceros sin el consentimiento explícito del cliente.
[+] Acuerdos de confidencialidad
Antes de comenzar cualquier proyecto, formalizamos acuerdos de confidencialidad que nos comprometen a proteger la información sensible que manejamos durante nuestras operaciones.