Administrador Web

El propietario y administrador del sitio web Booksy («Sitio web») es Booksy Inc.

Cargando Política de privacidad...

Cargando Términos de servicio...

Seguridad

La seguridad de los sistemas y datos de Booksy es crucial para nosotros. Tratamos los problemas de seguridad con máxima prioridad y hacemos todo lo posible para proteger los datos de comerciantes y clientes frente a amenazas. Animamos a usuarios e investigadores a informar sobre vulnerabilidades en nuestra plataforma, comprometiéndonos a gestionarlas oportunamente y con atención, según nuestra Política.

En Booksy, consideramos la seguridad fundamental. A medida que crece el panorama digital, aumenta la importancia de proteger la información personal y financiera. Nos comprometemos a mantener medidas de seguridad sólidas para garantizar que sus datos estén protegidos en Booksy:

Cifrado en reposo y en tránsito: Nos tomamos muy en serio la seguridad de tus datos, tanto si están almacenados como si se envían. Utilizamos un potente cifrado para protegerlos de accesos no autorizados, manteniendo su información segura y privada en todo momento.

No se almacena información de pago: Hemos decidido no almacenar la información de tu tarjeta de pago en nuestros servidores. En su lugar, nos asociamos con procesadores de pagos certificados que son expertos en el procesamiento seguro de pagos. Estos procesadores cuentan con la certificación PCI DSS, lo que añade un nivel adicional de seguridad a tus transacciones financieras. Además, nuestro proveedor de alojamiento, Google, cuenta con múltiples certificaciones, lo que garantiza una protección completa en todos los niveles de nuestra infraestructura.

Seguridad por diseño: La seguridad está en el centro del diseño de nuestras aplicaciones. Implementamos valores predeterminados seguros y realizamos análisis diarios del código de nuestras aplicaciones y sus dependencias. Cualquier vulnerabilidad potencial se aborda con prontitud, asegurándonos de que nuestros sistemas están actualizados y protegidos frente a nuevas amenazas.

‍Acceso basado en roles: En Booksy, el nivel de acceso se adapta a las funciones individuales. Esto significa que los empleados sólo tienen acceso a la información y las herramientas esenciales para su trabajo. Es una forma práctica de facilitar la seguridad, minimizando la posibilidad de que los datos sensibles caigan en las manos equivocadas.

Pruebas y supervisión rigurosas: Nuestro equipo de seguridad interno comprueba periódicamente las vulnerabilidades de nuestras aplicaciones, lo que se complementa con pruebas de penetración anuales realizadas por expertos externos. Además, nuestras aplicaciones se supervisan continuamente, lo que nos permite detectar y responder rápidamente a posibles ataques. Este enfoque proactivo garantiza el máximo nivel de resistencia de seguridad e integridad operativa.

Registro exhaustivo: En el improbable caso de que se produzca un incidente, nuestras amplias capacidades de registro nos permiten rastrear y comprender rápidamente la secuencia de eventos. Esta capacidad de respuesta rápida es crucial para mitigar los riesgos y proteger nuestra plataforma frente a futuras amenazas.

Programa de comunicación responsable: Creemos en el poder de la comunidad y la colaboración. Nuestro programa de divulgación responsable invita a los investigadores de seguridad y a los usuarios a notificar cualquier posible vulnerabilidad. Este enfoque nos ayuda a mejorar la seguridad y muestra nuestra dedicación a ser abiertos y mejorar constantemente.

Formación continua sobre seguridad: Es importante mantenerse al día en materia de seguridad. Proporcionamos a nuestros empleados formación continua sobre las prácticas y protocolos de seguridad más recientes. Esto garantiza que nuestro equipo esté alerta, mantenga unas prácticas de seguridad sólidas y sea consciente y responsable de sus funciones.

En Booksy, tu seguridad es nuestra principal preocupación. Nos comprometemos a ofrecer una plataforma en la que puedas confiar, mejorando siempre nuestras medidas de seguridad y fomentando una cultura de atención. Esto garantiza que Booksy sea un lugar seguro en el mundo online.

Política de Comunicación Responsable

La seguridad de los sistemas de Booksy y de los datos que residen en ellos es crucial para nosotros, y tratamos los posibles problemas de seguridad con la máxima prioridad. Hacemos todo lo posible para proteger los datos de los comerciantes y clientes de Booksy frente a las amenazas de seguridad, y animamos a todos los usuarios e investigadores de seguridad a informar sobre las vulnerabilidades de seguridad descubiertas en nuestra plataforma. Nos comprometemos a tratar los informes sobre vulnerabilidades de forma oportuna y con la mayor atención, siempre que se respete la siguiente Política.

I. DEFINICIONES:

1. Booksy - Booksy International sociedad de responsabilidad limitada con domicilio social en Varsovia, dirección: ul. Prosta 67, piso 28, 00-868 Varsovia, inscrita en el Registro de Empresarios llevado por el Tribunal de Distrito de la Capital de Varsovia, XII División Comercial del Registro Nacional de Tribunales con el número KRS 0000515914;
2. Política - esta política de divulgación responsable.
3. Paseo de la Fama - la sección de nuestro sitio web en la que damos las gracias públicamente a los remitentes, facilitando su nombre y apellidos, por informar de un nuevo problema de seguridad cuyo impacto se confirma.

II.  ALCANCE

1. El programa de comunicación de vulnerabilidades de Booksy cubre los siguientes productos:
   1. Aplicación Booksy para Clientes- https://booksy.com/
   2. Aplicación Booksy para Negocios- https://booksy.com/biz/
   3. Aplicaciones Móviles de Booksy:
2. Booksy para Clientes (Android, iOS)
3. Booksy Biz: Para Negocios (Android, iOS)

2. Aunque Booksy desarrolla otros productos, pedimos a todos los investigadores de seguridad que envíen informes de vulnerabilidades únicamente para la lista de productos indicada en el punto 1 anterior, sin perjuicio de lo dispuesto en el punto 3 siguiente.
3. Si cree que ha identificado una vulnerabilidad de riesgo crítico o una posible fuga de datos que no entra en el ámbito del punto 1 anterior, pero que aún así puede afectar negativamente a los datos de Booksy o de sus usuarios, no dude en ponerse en contacto con nosotros.

III. NOTIFICAR UN PROBLEMA

1. Por favor, comparta los detalles de su vulnerabilidad de seguridad enviando un correo electrónico a nuestro Equipo de Seguridad a security@booksy.com. 

1. Al informar, asegúrese de incluir toda la información posible, incluidas capturas de pantalla, pasos detallados para reproducir el problema, las versiones de la aplicación afectadas y cualquier otra información que pueda ayudarnos a clasificar la vulnerabilidad de forma más eficaz.

IV. PROCEDIMIENTO DE COMUNICACIÓN DE VULNERABILIDADES

1. Puede compartir en privado los detalles de la vulnerabilidad de seguridad con nuestro equipo de seguridad notificando un problema, como se describe en el punto III (1) anterior.
2. Confirmamos recibo de su envío y verificamos la vulnerabilidad. Nuestra primera respuesta suele llegar en menos de 2 días laborables.
3. Si la vulnerabilidad se considera válida y dentro del ámbito de aplicación, trabajamos en una corrección en colaboración con usted en la medida en que se sienta cómodo.
4. Una vez que nuestro equipo de producto solucione una vulnerabilidad, le notificaremos la solución y le incluiremos en nuestro Pasaeo de la Fama, si está de acuerdo.

V. NORMAS DE ACTUACIÓN

1. Le rogamos que respete en todo momento las siguientes normas:
   ‍
   1. no ver ni almacenar datos no públicos de Booksy (excepto los datos necesarios para documentar e informar de la presencia de una posible vulnerabilidad);
   2. no intente acceder o modificar datos que pertenezcan a otro usuario de Booksy;
   3. no intente ejecutar ataques de denegación de servicio, ni comprometer la fiabilidad y disponibilidad de los servicios de Booksy;
   4. no utilice escáneres, herramientas automatizadas o cualquier otra herramienta que pueda generar un tráfico excesivo y afectar negativamente a la disponibilidad del sistema;
   5. no intente nunca ataques no técnicos, como ingeniería social, phishing o ataques físicos, contra nadie ni contra ningún sistema;
   6. no divulgue públicamente las vulnerabilidades sin nuestro consentimiento previo (divulgue únicamente según el procedimiento de divulgación del punto IV anterior).

VI. QUÉ COMUNICAR

1. Cuando se ponga en contacto con nosotros, intente crear un ataque de prueba de concepto (con captura de pantalla si es necesario) o un script que explote el problema. Si el escenario de ataque propuesto resulta poco realista, su informe será probablemente rechazado con acuse de recibo.
2. Vulnerabilidades cualificadas:
   ‍
   1. Vulnerabilidades de inyección de virus;
   2. vulnerabilidades XSS que funcionan en los navegadores compatibles;
   3. autenticación rota o gestión de sesiones, permitiendo el acceso no autorizado a datos sensibles o la toma de cuentas;
   4. vulnerabilidades que resultan en la ejecución de código arbitrario o la lectura de archivos/datos sensibles (RCE, LFI, RFI, SSRF, XXE);
   5. control de acceso roto (escalada de privilegios, IDOR, CSRF);
   6. divulgación de información sensible (PII, datos de reserva, secretos, claves API sensibles, archivos de configuración);
   7. vulnerabilidades de la lógica de negocio que permiten eludir el flujo de negocio previsto y causar daños a Booksy o a sus usuarios;
   8. otras vulnerabilidades en las que pueda demostrar claramente un impacto negativo en la seguridad de los datos y sistemas de Booksy.
3. Vulnerabilidades NO cualificadas:
   ‍
   1. configuración subóptima del encabezado HTTP (a menos que pueda demostrar un impacto no teórico de dicha configuración);
   2. configuración SSL/TLS subóptima (a menos que pueda demostrar un impacto no teórico de dicha configuración);
   3. Vulnerabilidades XSS que sólo funcionan en navegadores no soportados/depreciados, o que requieren una acción que es poco probable que realice un usuario consciente (por ejemplo, pulsar alguna combinación de teclas);
   4. vulnerabilidades de enumeración usuario/correo electrónico;
   5. revelaciones de rutas de archivos o problemas de gestión de errores, que no conllevan un riesgo significativo;
   6. clickjacking o ataques de phishing que utilizan trucos de ingeniería social para abusar de los usuarios, con el sistema funcionando según lo previsto;
   7. políticas de contraseñas subóptimas;
   8. Denegación de servicio (DoS) no permanente y DoS distribuida (DDoS) que mantienen el agotamiento de recursos (cpu/red/memoria) a través de un flujo sostenido de peticiones/paquetes;
   9. vulnerabilidades móviles relacionadas con una protección insuficiente de ingeniería inversa o vulnerabilidades del lado del cliente que requieren, por ejemplo, un dispositivo comprometido para ser explotadas;
   10. divulgación de información que no entrañe riesgos significativos (por ejemplo, el tipo de servidor);
   11. configuración subóptima de las políticas de seguridad del correo electrónico (por ejemplo, DKIM, DMARC).

4. Si tiene alguna duda sobre el ámbito de aplicación que deba comunicarnos, no dude en ponerse en contacto con nosotros.

VII. RECOMPENSA

1. Si nos informa de un problema de seguridad no duplicado cuyo impacto se haya confirmado (véase la sección del punto VI (2) anterior), estaremos encantados de incluir su nombre en la sección del Salón de la Fama de la Seguridad de Booksy, si está de acuerdo.
2. Si consideramos que la vulnerabilidad de la que ha informado tiene un impacto importante en la seguridad de Booksy, como la divulgación de información críticamente sensible, el acceso remoto a la autoridad central del sistema, etc., puede ser recompensado con una sorpresa adicional.

VII. PASEO DE LA FAMA

Nos gustaría dar las gracias a las siguientes personas por su contribución al aumento de la seguridad general de Booksy.

2022

   Takshal Patel

   Mubassir Patel

   Nikhil Rane

   Shivansh Khari

   Sam Crowther

   Opinder Singh

2023

   Mohamed Shibil

   Robert Muchacki

‍

‍