In English | AARP se compromete a mantener la seguridad de nuestros sistemas y de la información de nuestros socios. Si descubres una vulnerabilidad de seguridad en una de nuestras aplicaciones, te solicitamos que nos comuniques tus hallazgos prontamente. Valoramos tu contribución y nos comprometemos a tratar tu divulgación de manera responsable y de acuerdo con nuestras guías para la presentación de divulgación de vulnerabilidades a continuación.* Te agradecemos de antemano tu aportación; apreciamos las investigaciones que nos apoyan en nuestros esfuerzos de seguridad.

*Este programa de divulgación se limita a las vulnerabilidades de seguridad de las aplicaciones web propiedad de AARP. AARP no ofrece recompensas monetarias por informar errores.

Todas las vulnerabilidades que afecten a AARP deben comunicarse por correo electrónico al equipo de AARP a través de vulnerabilitydisclosure@aarp.org.

Guías para la presentación de divulgación de vulnerabilidades

Te solicitamos que utilices las siguientes pautas al compartir con AARP posibles vulnerabilidades.

• Envía una vulnerabilidad por cada informe, a menos que necesites relacionarlas para indicar el impacto.
• Proporciona detalles con pasos reproducibles.
• No incluyas los siguientes detalles en tu informe:
  • Información confidencial
  • Información que pueda violar la política de privacidad de AARP.
• Podemos modificar los términos de esta política o anularla en cualquier momento.

NO:

• Participes en actividades que infrinjan (a) las leyes o reglamentos federales o estatales o (b) las leyes o reglamentos de cualquier país en el que (i) residan los datos, activos o sistemas, (ii) se dirija el tráfico de datos o (iii) el investigador esté llevando a cabo una actividad de investigación
• Accedas a, adquieras, elimines, descargues ni modifiques los datos que residen en una cuenta que no te pertenece;
• Destruyas ni corrompas, ni intentes destruir ni corromper, datos o información que no te pertenezcan;
• Ejecutes ni intentes ejecutar ataques de “Denegación de servicio”;
• Publiques, transmitas, subas, vincules, envíes ni almacenes ningún tipo de software malicioso;
• Hagas pruebas que puedan resultar en el envío de correo basura no solicitado o no autorizado, spam, esquemas piramidales u otras formas de mensajes duplicados o no solicitados o que degraden el funcionamiento de cualquier propiedad de AARP;
• Pruebes aplicaciones, sitios web o servicios de terceros que se integren o vinculen con las propiedades de AARP;
• Explotes ninguna vulnerabilidad de seguridad más allá de la cantidad mínima de pruebas requeridas para demostrar que existe una vulnerabilidad potencial.

Al presentar un informe:

• Declaras que no estás ubicado o eres residente de un país bajo sanciones de Estados Unidos, ni eres una persona que se encuentra o trabaja en nombre de una parte identificada en cualquier lista de partes restringidas mantenida por el Gobierno de Estados Unidos.
• Aceptas que tu información sea almacenada y transferida a Estados Unidos y reconoces que has leído y aceptado los términos de esta política
• Te comprometes a no revelar los detalles de vulnerabilidad a nadie más que a AARP sin el permiso escrito de AARP, a menos que lo exija la ley.
• Aceptas que cualquier información de AARP que encuentres, veas, adquieras o accedas, es propiedad de AARP o de sus clientes o terceros proveedores. No tienes ningún derecho, título o propiedad sobre dicha información.

Alcance: Nos reservamos el derecho a determinar si aceptamos un informe.

Los siguientes servicios están sujetos al programa de divulgación de vulnerabilidades en este momento:

• createthegood.aarp.org
• https://stayingsharp.aarp.org/espanol/
• Aplicación Android y móvil de AARP Now
  

No hay limitación de la responsabilidad ante terceros

AARP valora la identificación de posibles vulnerabilidades de seguridad y no tiene intención de tomar medidas contra los investigadores que, de buena fe, informen de dichas vulnerabilidades de manera lícita y en cumplimiento de esta política.  Sin embargo, no podemos hacer tal representación en nombre de ningún tercero.  En particular, en la medida en que cualquier actividad de investigación de seguridad o de divulgación de vulnerabilidades implique las redes, los sistemas, la información, las aplicaciones, los productos o los servicios de cualquier entidad no perteneciente a AARP, o los datos personales de los empleados, clientes, proveedores o cualquier otro tercero de AARP, dicha entidad o persona no perteneciente a AARP podrá determinar de modo independiente si desea emprender acciones legales o recursos relacionados con dichas actividades.