Seguridad de productos
Tesla valora el trabajo realizado por los investigadores para mejorar la seguridad de nuestras ofertas de productos y servicios. Nos comprometemos a colaborar con esta comunidad profesional para verificar, reproducir y responder a las vulnerabilidades legítimas notificadas. Animamos a dicha comunidad a participar en nuestro proceso de comunicación de información responsable. Para inscribirse como investigador de seguridad de buena fe previamente aprobado y registrar un vehículo para su investigación, envíe las solicitudes a VulnerabilityReporting@tesla.com.
Para vehículos o productos de energía
Aunque utilizamos Bugcrowd como plataforma para premiar los errores detectados, le rogamos que comunique los problemas relacionados con los vehículos y los productos directamente a VulnerabilityReporting@tesla.com, utilizando la clave PGP para cifrar los informes que contengan información confidencial. Visite nuestra página de Bugcrowd para ver una lista de los hallazgos no aplicables.
Errores de terceros
Si los problemas comunicados a nuestro programa para premiar los errores detectados afectan a una biblioteca de terceros, a un proyecto externo o a otro proveedor, Tesla se reserva el derecho a enviar los datos del problema a dicha parte sin necesidad de aprobación por parte del investigador. Haremos todo lo posible para coordinarnos y comunicarnos con los investigadores durante este proceso.
Responsible Disclosure Guidelines
Investigaremos los informes legítimos y haremos todo lo posible para corregir rápidamente cualquier vulnerabilidad. Con el fin de fomentar una generación de informes responsable, no emprenderemos acciones legales contra usted ni pediremos a las fuerzas del orden que sea sometido a investigación, siempre y cuando cumpla con las siguientes Directrices de divulgación responsable:
- Proporcione detalles de la vulnerabilidad, incluyendo la información necesaria para reproducir y validar la vulnerabilidad, así como una prueba de concepto (POC). Cualquier vulnerabilidad que implique una funcionalidad ajena a un vehículo registrado para su investigación debe notificarse en un plazo de 168 horas y cero minutos (7 días) desde la identificación de la vulnerabilidad.
- Realice un esfuerzo de buena fe para evitar infracciones de la privacidad, la destrucción de datos, y la interrupción o degradación de nuestros servicios.
- No modifique ni acceda a datos que no sean de su propiedad.
- Conceda a Tesla un periodo de tiempo razonable para corregir el problema antes de hacer pública cualquier información.
- Modifique únicamente vehículos que sean de su propiedad o aquellos a los que tenga permitido el acceso.
- No ponga en riesgo la seguridad del vehículo ni exponga a otras personas a condiciones de inseguridad.
- La investigación de la seguridad se limita a los mecanismos de seguridad de los archivos binarios de infoentretenimiento, los archivos binarios de Gateway, las ECU desarrolladas por Tesla y los productos energéticos.
Para que no haya lugar a dudas:
- Si, a través de su investigación de seguridad de buena fe, usted (un investigador de seguridad de buena fe previamente aprobado) causa un problema de software que requiere que el vehículo registrado para su investigación sea actualizado o "reprogramado", como acto de cortesía, Tesla hará esfuerzos razonables para actualizar o "reprogramar" el software de Tesla en el vehículo registrado para su investigación mediante una actualización inalámbrica, ofreciendo asistencia en un Centro de servicios con objeto de restaurar el software del vehículo utilizando nuestras herramientas de servicio estándar, u otras acciones que consideremos apropiadas. Tesla dispondrá de total discreción en cuanto al software u otro tipo de asistencia que se proporcione, y en cuanto al número de veces que se proporcione dicha asistencia. La asistencia de Tesla no cubre los gastos (por ejemplo, el remolque) en los que usted incurra. Tesla se reserva el derecho a limitar el número de solicitudes de servicio por investigador de buena fe previamente aprobado y de anular el registro de un vehículo con fines de investigación en cualquier momento.
- Tesla considera que un investigador de seguridad de buena fe previamente aprobado que cumple con esta política para acceder a un ordenador en un vehículo o producto energético registrado para su investigación no ha accedido a un ordenador sin autorización ni ha excedido el acceso autorizado según la Ley de fraude y abuso informático ("CFAA").
- Tesla no presentará una reclamación por infracción de derechos de autor en virtud de la Ley de derechos de autor de la era digital ("DMCA") contra un investigador de seguridad de buena fe previamente aprobado que eluda el mecanismo de seguridad, siempre y cuando el investigador no acceda a ningún otro código o archivo binario.
- Tesla no considerará que los cambios en el software, como resultado de una investigación de seguridad de buena fe llevada a cabo por un investigador de seguridad de buena fe de un vehículo registrado para la investigación de la seguridad, anulen la garantía de dicho vehículo, a pesar de que cualquier daño al vehículo resultante de cualquier modificación de software no será cubierto por la garantía del vehículo Tesla.