En Automation Anywhere, la seguridad es nuestra prioridad, y nos importa profundamente mantener la confianza que nuestros clientes depositan en nosotros. Como cliente de Automation Anywhere, puede realizar escaneos de seguridad externos, evaluaciones o pruebas de penetración contra su propio inquilino registrado de Automation Anywhere a nivel externo con aprobación previa. Las pruebas programadas deben aprobarse previamente y realizarse en una fecha y hora que se haya acordado con Automation Anywhere.

Esta página define el alcance, la solicitud del proceso de aprobación, las pautas del proceso de informe para dicha actividad de prueba de vulnerabilidad y prueba de penetración acordadas, la condición de realización única (se permite un solo espacio de prueba por aprobación), por parte de nuestros clientes. Si descubre una vulnerabilidad en nuestros sistemas, aplicaciones o infraestructura de red durante dicha prueba, Automation Anywhere le agradece que nos lo informe de manera responsable.

Alcance

El alcance de esta prueba se limita únicamente a las vulnerabilidades de seguridad y debilidades descubiertas en la URL del inquilino de producción de Automation 360 en la Nube que se le ha asignado, como uno de nuestros clientes existentes. Una URL o dominio de este tipo tendrá, por ejemplo, el siguiente formato: https://sample_organization.automationanywhere.digital.

Solicitud de proceso de aprobación

La mayoría de los clientes confían en las pruebas de penetración de terceros que Automation Anywhere realiza anualmente a través de diferentes proveedores. Los informes de estas pruebas se ponen a disposición en virtud de un acuerdo de confidencialidad (NDA) junto con cualquier plan de corrección necesario.

Si necesita realizar sus propias pruebas de penetración, entonces Automation Anywhere solicita notificación con, al menos, dos semanas de anticipación. Contactar a la asistencia técnica de Automation Anywhere: Abra un caso de asistencia técnica (se requiere inicio de sesión en A-People) para realizar esta solicitud de envío y notificación. En la notificación de solicitud, proporcione la siguiente información:
  • Las URL específicas que se planea probar.
  • La región (si hay restricciones).
  • El período de prueba, las fechas de inicio y finalización.
  • Las direcciones IP de los dispositivos que realizarán las pruebas.
  • Metodología: Caja negra, caja blanca o caja gris.
  • Escaneos automáticos: Sí o No.
  • Ataques de denegación de servicio (DOS): Sí o No.
  • Ataques por fuerza bruta o de tipo diccionario: Sí o No.
  • Otra información relevante.

Directrices

Preste atención a las siguientes pautas mientras realiza las pruebas:

  • Informe cualquier problema de seguridad potencial lo antes posible. Automation Anywhere hará todo lo posible para responder y resolver el problema rápidamente.
  • Proporcione suficiente información para reproducir la vulnerabilidad, como una prueba de concepto.
  • No divulgue un problema al público ni a un tercero hasta que Automation Anywhere haya proporcionado una respuesta oficial.
  • Haga un esfuerzo de buena fe para evitar vulneraciones de privacidad, destrucción de datos e interrupción o degradación de nuestro servicio. Solo interactúe con aplicaciones e inquilinos que sean de su propiedad o para los cuales tenga el permiso explícito del titular de la cuenta.
  • Elabore cualquier texto o imagen que pueda identificar o proporcionar información sobre la aplicación, nuestros clientes o sus vulnerabilidades, si corresponde.
  • No participe en pruebas disruptivas (como de denegación de servicio [DoS]) ni en ninguna acción que pueda tener un impacto en la confidencialidad, integridad o disponibilidad de la información y los sistemas de Automation Anywhere.
  • No participe en planes de ingeniería social ni phishing de clientes ni empleados.
  • No solicite compensación por el tiempo y los materiales involucrados en las vulnerabilidades descubiertas.

Actividades prohibidas

No realice las siguientes actividades:

  • Utilizar dominios o subdominios fuera del alcance de prueba aprobado.
  • Ejecutar o intentar ejecutar cualquier ataque de denegación de servicio (DoS).
  • Involucrarse en vulnerabilidades que requieren acceso físico a la computadora o dispositivo de un usuario.
  • Realizar pruebas de vulnerabilidades en sitios de socios de Automation Anywhere, aplicaciones de terceros, sitios web o servicios que se integran o asocian a sistemas de Automation Anywhere.
  • Realizar ataques físicos contra oficinas o centros de datos de Automation Anywhere.
  • Acceder, descargar o modificar datos que residen en una cuenta que no le pertenece.
  • Publicar, transmitir, subir, vincular, enviar o almacenar cualquier software malicioso.
  • Realizar pruebas de una manera que genere el envío de correos electrónicos no solicitados o no autorizados, spam, esquemas piramidales u otras formas de mensajes no solicitados.
  • Realizar pruebas de una manera que degradaría el funcionamiento de cualquier sistema de Automation Anywhere.

Informes

Después de que finalice el período de prueba, envíe los resultados de vulnerabilidades de seguridad a través del servicio de asistencia de Automation Anywhere: Abrir un caso de asistencia (inicio de sesión en A-people obligatorio). Al informar vulnerabilidades, proporcione escenarios de ataque, casos de prueba detallados específicos, posibilidad de aprovecharse (si corresponde) y el impacto de la vulnerabilidad en la seguridad. Automation Anywhere se compromete a lo siguiente:

  • Trabajar con usted para entender y validar el problema.
  • Abordar el riesgo (si Automation Anywhere lo considera apropiado).