Política de pruebas de seguridad

Resumen general

Credenti compromete a mantener los más altos estándares de ciberseguridad, autenticación sin contraseñas y control de acceso Zero Trust. Nuestra plataforma protege el acceso de los usuarios en el nivel de inicio de sesión del sistema operativo, en el nivel de las aplicaciones y en el nivel de la infraestructura de identidades.

Apoyamos las pruebas de seguridad y las pruebas de penetración responsables que se lleven a cabo de forma controlada y autorizada. La presente Política de pruebas de seguridad define el alcance permitido, las actividades prohibidas y los requisitos de gobernanza para las pruebas Credenti y servicios Credenti .

Importante: Esta política se aplica específicamente a los clientes y a terceros autorizados que realicen pruebas de seguridad en Credenti y los servicios Credenti . No describe ni limita las prácticas de seguridad internas Credenti. Credenti un programa de seguridad integral y de múltiples capas que incluye una amplia gama de metodologías de prueba y validación, tales como prácticas de desarrollo seguro, análisis estático y dinámico, pruebas de penetración internas y realizadas por terceros, y supervisión continua de la seguridad, todo ello fuera del alcance de esta política.

Ámbito de cobertura

Esta política se aplica a todos los productos y servicios Credenti , incluidos:

  • Plataformas de autenticación sin contraseña
  • Soluciones seguras para el inicio de sesión en estaciones de trabajo y dispositivos
  • Servicios de gestión de identidades y accesos (IAM)
  • Extensiones de navegador y agentes de terminal
  • Componentes de autenticación y inicio de sesión del sistema operativo, incluidos los proveedores de credenciales de Windows, los paquetes de autenticación, las integraciones de inicio de sesión de macOS, los módulos PAM de Linux y otros mecanismos previos al inicio de sesión o de desbloqueo de estaciones de trabajo
  • API, servicios de backend e infraestructura de autenticación
  • Cargas de trabajo en contenedores, imágenes de máquinas virtuales y artefactos de implementación
  • Implementaciones locales, en la nube, híbridas y aisladas físicamente

Pruebas de seguridad permitidas

Credenti realizar pruebas de seguridad controladas, no intrusivas y de tipo «caja negra» que evalúan el comportamiento del sistema sin acceder a la implementación interna ni a la lógica propia.

Actividades permitidas

  • Pruebas de penetración de caja negra
  • Pruebas de seguridad de redes y perímetros
  • Pruebas de API mediante interfaces documentadas
  • Validación del flujo de autenticación y autorización
  • Configuración y validación de políticas
  • Análisis de vulnerabilidades no destructivo

Estos enfoques se ajustan a los principios modernos de validación «Zero Trust», según los cuales los sistemas se someten a pruebas externas sin revelar su diseño interno ni debilitar los mecanismos de garantía de identidad.

Metodologías de ensayo y restricciones

Credenti métodos de pruebas de seguridad alineados con un modelo «Zero Trust», en el que los sistemas se evalúan externamente sin revelar detalles internos de la implementación.

Metodología permitida

  • Pruebas de caja negra: pruebas realizadas sin acceso al código fuente, a los binarios ni al diseño interno del sistema

Metodologías restringidas

  • Pruebas de caja blanca: pruebas que requieren acceso al código fuente, a la arquitectura interna o a los detalles de implementación
  • Pruebas de caja gris: pruebas que se basan en un conocimiento parcial del funcionamiento interno del sistema, las API o el diseño
  • Pruebas estáticas de seguridad de aplicaciones (SAST): análisis a nivel de código, lo que incluye la revisión del código fuente, la descompilación de binarios o la ingeniería inversa

Estas metodologías restringidas implican, por su propia naturaleza, el acceso o el análisis de lógica propia, mecanismos de autenticación o integraciones de inicio de sesión en el sistema operativo, por lo que no están permitidas sin la autorización explícita por escrito de Credenti.

Actividades prohibidas

Para proteger la arquitectura de autenticación sin contraseña Credenti, las integraciones de inicio de sesión en el sistema operativo y los mecanismos de seguridad propios, quedan estrictamente prohibidas las siguientes actividades.

Ingeniería inversa y análisis de código

  • Descompilar, desensamblar, descodificar o realizar ingeniería inversa de cualquier componente del software
  • Extraer o analizar archivos binarios, ejecutables o extensiones de navegador
  • Revisión de imágenes de contenedores, imágenes de máquinas virtuales o artefactos de implementación
  • Depuración, instrumentación o inspección de la memoria
  • Descompilar, examinar o analizar los componentes de autenticación e inicio de sesión del sistema operativo, incluidos los proveedores de credenciales de Windows, los paquetes de autenticación, las integraciones de inicio de sesión de macOS, los módulos PAM de Linux y los mecanismos de autenticación relacionados

Análisis basado en IA y procesamiento externo

  • Subir software, archivos binarios, artefactos o resultados a plataformas de inteligencia artificial (IA) o de aprendizaje automático
  • Envío de Credenti a herramientas de análisis de código o entornos SaaS externos
  • Uso de servicios de terceros que requieren la carga externa de archivos binarios, código o artefactos propietarios

Análisis de la arquitectura interna

  • Intentar deducir o reconstruir el código fuente
  • Intentar derivar la arquitectura del sistema, los controles de seguridad o la lógica de autenticación
  • Intentar descubrir los mecanismos de gestión de credenciales o los flujos de trabajo propios

Pruebas perturbadoras o maliciosas

  • Ataques de denegación de servicio (DoS o DDoS)
  • Intentos de sustracción de datos
  • Elevación de privilegios no autorizada
  • Movimiento lateral fuera del ámbito autorizado
  • Interferencia en los sistemas de producción o en el acceso de los usuarios

Compartir sin autorización o acceso de terceros

  • Compartir software, materiales o acceso con terceros no autorizados
  • El uso de herramientas o plataformas que requieren la carga externa de código o archivos binarios
  • Permitir el acceso a Credenti a proveedores o evaluadores no autorizados

Requisitos de autorización para la realización de pruebas

Todas las pruebas de seguridad deben ser autorizadas expresamente por escrito por Credenti de su realización.

Requisitos

  • Alcance, sistemas y plazos bien definidos
  • Identificación de la entidad encargada de la prueba, ya sea interna o externa
  • Divulgación de las herramientas y metodologías que se utilizarán
  • Identificación de los entornos de destino
  • Acuerdo de cumplimiento del Contratode licencia de usuario final (EULA) Credenti y de la presente Política de pruebas de seguridad

Queda terminantemente prohibido realizar pruebas sin autorización.

Controles de pruebas realizadas por terceros

Si las pruebas las realiza un tercero:

  • El tercero debe ser autorizado por Credenti
  • El tercero deberá estar sujeto a obligaciones de confidencialidad y de no divulgación
  • El tercero deberá cumplir íntegramente con elAcuerdo de licencia de usuario final (EULA) Credenti y con la presente Política de pruebas de seguridad.

El cliente es plenamente responsable de todas las acciones realizadas por los evaluadores externos.

Tratamiento de datos y confidencialidad

Todos los resultados de las pruebas, incluidos los registros, los hallazgos y los artefactos, se consideran información confidencial.

Requisitos

  • No se permite la divulgación pública sin autorización previa por escrito
  • No se permite la subida de archivos a plataformas externas o de terceros
  • No sirve para el análisis de la competencia ni para el desarrollo de productos
  • Almacenamiento seguro y acceso controlado en todo momento

Divulgación de vulnerabilidades

Credenti la divulgación responsable de los hallazgos de seguridad.

Informar de vulnerabilidades

Correo electrónico: credenti

Por favor, incluye:

  • Descripción detallada del problema
  • Pasos para reproducir el problema
  • Evaluación de impacto
  • Pruebas de apoyo, como registros, capturas de pantalla o rastros

Cláusula de exención de responsabilidad

Credenti no Credenti acciones legales contra los investigadores de seguridad que:

  • Actuar de buena fe
  • Cumpla con esta política
  • Evita el uso más allá de lo necesario para la validación
  • No infrinja la legislación vigente ni ponga en peligro los datos de los usuarios

La integración de la seguridad «Zero Trust» y la seguridad sin contraseñas

La plataforma Credentise basa en:

  • Autenticación sin contraseña y sin secretos compartidos
  • Verificación de identidad resistente al phishing
  • Control de acceso basado en dispositivos y contexto

Las pruebas de seguridad deben respetar estos controles y no deben intentar eludir ni debilitar los mecanismos de verificación de identidad fuera de los escenarios aprobados.

Aplicación

El incumplimiento de esta política puede dar lugar a:

  • Suspensión inmediata del acceso
  • Rescisión de contratos
  • Acciones legales con arreglo a la legislación aplicable
  • Cumplimiento de las normas de protección de la propiedad intelectual y las obligaciones de confidencialidad