Programa de divulgación de vulnerabilidades

La finalidad de esta página web es poder reportar vulnerabilidades de seguridad. Desafortunadamente, no podemos ayudarle en lo referente a los servicios de la cuenta ni evacuarle dudas sobre su relación con Regions Bank a través del formulario de envío del programa de divulgación de vulnerabilidades o dirección de correo electrónico vinculada. Por ese motivo, no incluya información personal ni datos confidenciales. Para obtener asistencia con su cuenta o en caso de tener cualquier otra duda, comuníquese por correo electrónico a ContactUs@regions.com o ingrese a su cuenta en línea y haga clic en la opción "Envíenos uno mensaje" que aparece en la esquina inferior derecha de cualquier página.

La seguridad es central para nuestros valores, y agradecemos el aporte de investigadores de seguridad que obran de buena fe para ayudarnos a mantener un nivel alto de seguridad y privacidad para nuestros clientes y asociados. Esto incluye una investigación responsable de vulnerabilidades y su divulgación. Esta política contiene nuestra definición de buena fe en el contexto de detección y divulgación de vulnerabilidades, así como qué esperar de nosotros como respuesta.

Si cree que identificó una posible vulnerabilidad en nuestra seguridad, le pedimos que nos lo informe siguiendo las guías de envío a continuación. Gracias de antemano por su envío, valoramos que los investigadores nos colaboren con nuestras iniciativas de seguridad.

Si sospecha un fraude que involucra a su cuenta, visite nuestra página Denunciar fraudes para reportarlo.

Expectativas

Al trabajar con nosotros de conformidad con esta política, puede esperar que:

  • Extendamos el acuerdo de protección de datos (Safe Harbor) en función de su investigación de vulnerabilidades en relación con esta política
  • Trabajemos con usted para entender y validar su informe, con una respuesta inicial oportuna al envío, y
  • Trabajemos en tiempo y forma para remediar las vulnerabilidades descubiertas

Alcance

*.firststerling.com
*.regions.com
*.regions.us
*.regions6x.com
*.regionsapps.com
*.regionsdev.com
*.regionsmortgage.com
*.regionsqa.com
*.regionsretirement.com
*.regionssource.com
*.regionstest.com
*.rgbk.com

A los fines de esta política, los sistemas que no figuran en el listado de más arriba quedan fuera del alcance de las pruebas de seguridad.

Recompensas

Regions Bank no administra un programa bug bounty público, pero puede, a su exclusivo criterio, ofrecer una recompensa o reconocimiento a las primeras personas en informar una vulnerabilidad singular y cuyo reporte desencadene un cambio en el código o la configuración.

Política de divulgación

Al enviar su divulgación de vulnerabilidad a Regions Bank, usted acepta que mantendrá la confidencialidad de la información relacionada con la vulnerabilidad y que no la divulgará a ningún tercero, excepto que Regions Bank le haya dado consentimiento por escrito para hacerlo. El envío de este informe de vulnerabilidad supone su autorización para que Regions Bank lo use, cree trabajos derivados o divulgue o modifique la información que haya proporcionado.

Canales de comunicación oficiales

Los informes de vulnerabilidades se pueden enviar a través del formulario de envío a continuación. Si no puede enviar su informe a través de este formulario, puede enviarnos un email a responsibledisclosure@regions.com.

Recuerde que su informe debe contener una descripción detallada de la vulnerabilidad descubierta y los pasos para reproducirla. Agradecemos que el informe incluya, como mínimo, la siguiente información:

  • La aplicación, el servicio, el producto o el sistema donde se descubrió la vulnerabilidad
  • Clase o tipo de vulnerabilidad
  • Posibles impactos en términos de seguridad
  • Pasos para reproducir la vulnerabilidad
  • Medidas sugeridas de mitigación o resolución de la vulnerabilidad

Normas

Con el fin de fomentar la investigación de vulnerabilidades y evitar cualquier confusión entre los hackeos de buena fe y los ataques maliciosos, le pedimos que:

  • Respete las reglas. Esto incluye adherir a esta política, además de otros acuerdos que correspondan. Si hubiera alguna inconsistencia entre esta política y otros términos relevantes, prevalecerán los términos de la presente política
  • Informe rápidamente cualquier vulnerabilidad que haya descubierto
  • Evite vulnerar la privacidad de otras personas, la interrupción de nuestros sistemas, la destrucción de datos y/o el impacto en la experiencia del usuario
  • Use únicamente los canales oficiales para conversar con nosotros acerca de las vulnerabilidades
  • Mantenga la confidencialidad de cualquier vulnerabilidad descubierta, de conformidad con la Política de divulgación;
  • Realice pruebas solo con sistemas dentro del alcance, y respete los sistemas y actividades que quedan fuera del alcance de esta política
  • Se abstenga de aplicar ingeniería social (como phishing o vishing), o cualquier otra prueba no técnica de vulnerabilidad
  • Si una vulnerabilidad le permite acceder a datos: limite la cantidad de datos a los que accede al mínimo necesario para presentar un efectivo Comprobante de concepto y deje de hacer pruebas y envíe el informe de inmediato si accede a algún dato de un usuario durante las pruebas, como información de identificación personal (PII, por sus siglas en inglés), información personal de salud (PHI, por sus siglas en inglés), datos de tarjetas de crédito o información patentada
  • Declare que no es residente de ni hace su envío desde un país o región con sanciones vigentes u otras restricciones comerciales por parte de los Estados Unidos (como Cuba, Irán, Corea del Norte, Sudán, Siria y Crimea)
  • Debe ser mayor de 18 años.
  • Solo debe interactuar con cuentas de prueba de su propiedad, o con expresa autorización del titular de la cuenta, y
  • No se involucre en extorsiones.

Safe Harbor (acuerdo de protección de datos)

Al realizar una investigación de vulnerabilidades de conformidad con esta política, consideramos que esta investigación debe:

  • Estar autorizada de conformidad con la Ley sobre Fraude y Acoso Informático (CFAA, por sus siglas en inglés) (y/o leyes estatales de tenor similar), y no iniciaremos ni respaldaremos ninguna acción legal en su contra por la violación accidental, de buena fe, de esta política
  • Estar exenta de las disposiciones de la Ley de Derechos de Autor de la Era Digital (DMCA, por sus siglas en inglés) y no iniciaremos ninguna demanda en su contra por evadir los controles tecnológicos
  • No estar alcanzada por las restricciones de nuestros Términos y Condiciones que podrían interferir con la investigación de seguridad, y renunciamos a dichas restricciones de manera limitada para el trabajo realizado en virtud de esta política, y
  • Ser legal, últil para la seguridad general de Internet, y realizada de buena fe.

Como siempre, se espera que cumpla con todas las leyes vigentes.

Si en algún momento tiene alguna inquietud o duda acerca de si su investigación de seguridad está en línea con esta poítica, envíe un informe a través de nuestros canales oficiales antes de seguir avanzando.

Enviar un informe de vulnerabilidad