Suunto mantiene su compromiso de alcanzar el nivel de conformidad AA en este sitio web de acuerdo con las Pautas de accesibilidad para contenido web (Web Content Accessibility Guidelines, WCAG) 2.0 y otras normas de accesibilidad. Ponte en contacto con el departamento de Servicio al Cliente en EE. UU. en el +1 855 258 0900 (llamada gratuita) si tienes algún problema para acceder a la información contenida en este sitio web.

Política de divulgación responsable de Suunto

Suunto se compromete a garantizar la seguridad de todas las personas que utilizan nuestros dispositivos y servicios. En general, proporcionamos actualizaciones de seguridad para corregir vulnerabilidades confirmadas en nuestros dispositivos y servicios durante un mínimo de 2 años a partir de la fecha en que el dispositivo o servicio se ofrece por primera vez para la venta o el uso comercial. Animamos a todas las personas a informar de cualquier vulnerabilidad que detecten y agradecemos su ayuda a la hora de comunicárnoslas de manera responsable.

Esta política de divulgación de vulnerabilidades se aplica a cualquier vulnerabilidad de la que esté valorando informarnos. Recomendamos leer la totalidad de esta política de divulgación de vulnerabilidades antes de informar de una vulnerabilidad y actuar siempre de conformidad con ella.

Valoramos a quienes dedican tiempo y esfuerzo a informarnos de vulnerabilidades de seguridad de acuerdo con esta política. Sin embargo, no ofrecemos recompensas monetarias por la divulgación de vulnerabilidades.

# Informes

Si cree que ha encontrado una vulnerabilidad de seguridad, envíenos un mensaje al siguiente correo electrónico: security@suunto.com.

En el informe, incluya información sobre:

  • El dispositivo específico, el sitio web, la IP o la página donde se puede observar la vulnerabilidad;
  • Una breve descripción del tipo de vulnerabilidad, por ejemplo; “vulnerabilidad XSS”;
  • Pasos para reproducirla. Debería tratarse siempre de una prueba de concepto benigna y no destructiva. 

Esto ayuda a garantizar que el informe se pueda clasificar de forma rápida y precisa. También reduce las probabilidades de que se envíen informes duplicados o de la explotación maliciosa de algunas vulnerabilidades, como la apropiación de subdominios.

Si no informa de un problema de seguridad, no podremos responder a su mensaje. Para problemas no relacionados con la seguridad (incluidos problemas con su cuenta de la app Suunto, dirección de correo electrónico, contraseña, dispositivos perdidos o robados o inquietudes sobre privacidad), visite www.suunto.com/Support/.

# Qué esperar

Una vez que haya enviado su informe, le responderemos en un plazo de 7 días hábiles. También intentaremos mantenerle informado sobre nuestro progreso hasta que se resuelva el problema.

La prioridad de la corrección se evalúa teniendo en cuenta el impacto, la gravedad y la complejidad de la vulnerabilidad. Los informes de vulnerabilidad pueden tardar algún tiempo en clasificarse o abordarse. Le invitamos a que nos contacte para comprobar el estado de la investigación, pero no lo haga más de una vez cada 14 días. De este modo, nuestros equipos podrán centrarse en la corrección.

Le notificaremos cuando se solucione la vulnerabilidad de la que nos ha informado. Además, es posible que se le pida que confirme que la solución ha corregido la vulnerabilidad adecuadamente.

Una vez que se haya resuelto la vulnerabilidad, podrá pedirnos que divulguemos su informe si lo desea.

Nos gustaría unificar la orientación para los usuarios afectados, así que continúe coordinando la publicación pública con nosotros.

# Indicaciones

Usted NO debe:

  • Infringir ninguna ley ni reglamento aplicable;
  • Acceder a cantidades de datos innecesarias, excesivas o significativas;
  • Modificar datos en nuestros sistemas o servicios;
  • Utilizar herramientas de escaneo invasivas o destructivas de alta intensidad para encontrar vulnerabilidades;
  • Intentar realizar, o informar de, cualquier tipo de denegación de servicio, p. ej., colapsar un servicio con un elevado volumen de solicitudes;
  • Interrumpir nuestros servicios o sistemas;
  • Enviar informes que detallen vulnerabilidades no explotables o informes que indiquen que los servicios no se corresponden totalmente con las «mejores prácticas», por ejemplo, faltan encabezados de seguridad.
  • Enviar informes que detallan las debilidades de la configuración de TLS, por ejemplo, compatibilidad con el conjunto de cifrado «débil» o la presencia de compatibilidad con TLS1.0;
  • Comunicar ninguna vulnerabilidad ni detalles asociados por medios distintos a los descritos en la política publicada;
  • Realizar ingeniería social, realizar «phishing» (suplantación de identidad) o atacar físicamente a los empleados o la infraestructura de Suunto;
  • Exigir una recompensa económica por revelar cualquier vulnerabilidad.

Usted debe:

  • Cumplir siempre con las normas de protección de datos. No debe violar la privacidad de los usuarios, empleados, contratistas, servicios o sistemas de Suunto. Por ejemplo, no debe compartir, redistribuir o desproteger los datos recuperados de los sistemas o servicios;
  • Eliminar de forma segura todos los datos recuperados durante su investigación tan pronto como ya no sean necesarios o en un plazo de un mes a partir de la fecha de la resolución de la vulnerabilidad, lo que ocurra primero (o según lo exija la ley de protección de datos).

# Legitimidades

Esta política está diseñada para ser compatible con las buenas prácticas comunes de divulgación de vulnerabilidades. No le otorga permiso para actuar de ninguna manera que quebrante la ley o que pueda causar que Suunto o sus organizaciones asociadas incumplan cualquier obligación legal.