En Nike tenemos la misión de brindar inspiración e innovación a todos los atletas del mundo. Para progresar, los atletas monitorean su desempeño y necesitan saber que sus datos están protegidos. Y nosotros estamos obsesionados con la protección de sus datos. Tomamos en serio las vulnerabilidades que representan un riesgo de seguridad y valoramos la ayuda de la comunidad de investigación de seguridad global para identificar riesgos.

Nuestra política de divulgación responsable proporciona pautas de investigación claras: pedimos que juegues conforme a las reglas y dentro del alcance de nuestro programa.

• Este no es un programa de recompensa de errores. No ofrecemos recompensas o compensaciones por identificar problemas. Pero aun así podríamos optar por darte las gracias por hallazgos excepcionales.
• Si encuentras información de identificación personal (Personally Identifiable Information,PII), detente y comunícate con nosotros inmediatamente. No continúes con el acceso y depura de inmediato cualquier información local; esto sirve para protegerte a ti y a los datos.
• Nuestra política de divulgación se aplica a todos los envíos.
• Nuestro procedimiento de envío no está diseñado para los empleados o las filiales (deben comunicarse directamente con Seguridad de la Información).

Aceptamos envíos para los siguientes dominios y sistemas.

Sitios

• http[s]://*.nike.com/*
• http[s]://*.converse.com/*
• http[s]://*.nike.net/*
• Nota: En casos donde sitios múltiples comparten un código base común, no es necesario hacer envíos duplicados (y podrían rechazarse).

Apps (iOS y Android)

• SNKRS
• Nike
• NRC (Nike Run Club)
• NTC (Nike Training Club)

El envío debe ser para vulnerabilidades que representen un riesgo demostrable que pueda afectar a nuestros sistemas, usuarios o datos. Se valoran los envíos de prácticas recomendadas, pero podrían no recibir una respuesta.

Recuerda, si te encuentras con información confidencial o PII, detente y notifícanos de inmediato.

• No guardes, almacenes, transfieras o uses de otra forma cualquier información de Nike después del descubrimiento inicial.
• Solo mira la información en la medida de lo requerido para identificar las vulnerabilidades y no conserves información o datos.
• Solo usa información obtenida desde nuestros sistemas o servicios para facilitar el informe de vulnerabilidades de seguridad directamente a nosotros.
• Devuelve inmediatamente cualquier información confidencial o PII y no conserves información o datos.

Solo interactúa con las cuentas que poseas o con las que tengas un permiso explícito del propietario para interactuar. Siéntete con la libertad de crear tus propias cuentas para fines de prueba.

Están prohibidas las acciones que afecten la integridad y la disponibilidad de los sistemas autorizados. Si notas degradación o interrupción de desempeño, suspende inmediatamente todo el uso de las herramientas automatizadas.

Los siguientes métodos no están autorizados y constituyen una conducta inaceptable:

• Negación de ataques de servicio
• Suplantación de identidad o ataque específico de suplantación de identidad
• Ingeniería social
• Vulnerabilidades de seguridad físicas a nuestros servidores o redes
• Cualquier otra prueba de vulnerabilidad no técnica
• Vulnerabilidades basadas en la red local, como envenenamiento de sistema de nombres de dominio (Domain Name System, DNS) y suplantación del protocolo de resolución de direcciones (Address Resolution Protocol, ARP)
• Pruebas o envíos de cualquier dominio, app o servicio no enumerados expresamente anteriormente, incluido cualquier sistema conectado

Esto es lo que esperamos de ti:

• Juego limpio. Si no estás seguro de si la conducta es aceptable o inaceptable, comunícate con infosec@nike.com para obtener una aclaración antes de llevar a cabo la conducta.
• Información suficiente para replicar la vulnerabilidad. Te animamos a proporcionar el envío de la forma más clara posible. Puedes enviar capturas de pantalla o videos adicionales a través de nuestro formulario de envío.
• Investigación clara y de calidad. No se considerarán los informes que incluyan solo fallas del sistema u otro resultado de herramientas automatizadas y podrían no recibir respuesta. Envía informes escritos claramente en inglés para que podamos tomar acciones apropiadas con prontitud.
• Información adicional cuando se solicite. Se podrá cerrar el envío si no respondes a las solicitudes de información en un plazo de siete días.
• Confidencialidad. Nos comprometemos a reparar las vulnerabilidades pertinentes en noventa días o menos. Abstente de compartir tu informe con terceros mientras trabajamos en la reparación: la divulgación en la ausencia de reparación de fácil acceso puede aumentar el riesgo en vez de reducirlo. Cuando envías tu informe, aceptas tratar el informe de manera confidencial durante noventa días a partir del envío.

Esto es lo que puedes esperar de nosotros:

• Respuesta oportuna (en dos días hábiles)
• Diálogo abierto para discutir los problemas sin temor a represalias
• Notificación cuando el análisis de vulnerabilidades esté completo
• Plazo esperado para reparaciones y correcciones (generalmente en un plazo de 90 días)

Usa nuestro Formulario de divulgación responsable para enviar la información requerida.