DESCRIPCIÓN DEL PROGRAMA

Dynamics 365 es un conjunto de aplicaciones empresariales inteligentes diseñadas para conectar a los clientes, los productos, la gente y las operaciones. Invitamos a las personas o a las organizaciones a identificar vulnerabilidades de seguridad en las aplicaciones de Dynamics 365 que están dentro del ámbito del programa y a compartirlas con nuestro equipo. Los envíos que cumplan los requisitos podrán optar a premios de recompensa que oscilan entre 500 y 20 000 USD.  

Microsoft concederá las recompensas a su entera discreción en función de la gravedad y el impacto de la vulnerabilidad y la calidad del envío, conforme a los Términos y condiciones de los programas de recompensas de Microsoft.  

SERVICIOS Y PRODUCTOS DENTRO DEL ÁMBITO DEL PROGRAMA 

La mayor parte de las vulnerabilidades enviadas en relación con aplicaciones de Dynamics 365 pueden optar a una recompensa en este programa.  

  • Aplicaciones de Microsoft Dynamics 365 Online, incluidas las siguientes: 
    • Dynamics 365 for Sales 
    • Dynamics 365 for Customer Service 
    • Dynamics 365 for Field Service 
    • Dynamics 365 for Talent 
    • Dynamics 365 for Finance and Operations 
    • Dynamics 365 for Retail 
    • Dynamics 365 for Project Service Automation 
    • Dynamics 365 for Marketing 
    • Dynamics 365 Remote Assist 
    • Dynamics 365 Layout 
    • Dynamics 365 AI for Sales 
    • Dynamics 365 AI for Customer Service 
    • Dynamics 365 AI for Market Insights
    • Dynamics 365 Business Central
    • Dynamics 365 General 
  • Productos de Microsoft Dynamics 365 On premises 
    • Microsoft Dynamics AX 
    • Microsoft Dynamics CRM 
    • Microsoft Dynamics GP 
    • Microsoft Dynamics NAV
    • Microsoft Dynamics SL 

Los envíos que identifiquen vulnerabilidades en Office 365, las cuentas de Microsoft, Azure DevOps y otros servicios en línea se considerarán en los programas de recompensas de la nube específicos del servicio o el producto, incluidos el programa de recompensas de Cloud, el programa de recompensas de Microsoft por la detección de vulnerabilidades relacionadas con la identidad o el programa de recompensas de Azure DevOps. Todos los envíos se revisan para comprobar su pueden optar a alguna recompensa; por tanto, no se preocupe si no tiene claro a qué programa pertenece su envío. Remitiremos su informe al programa adecuado. 

¿QUÉ REQUISITOS DEBEN CUMPLIR LOS ENVÍOS? 

El objetivo del programa de recompensas de Microsoft por la detección de errores es descubrir vulnerabilidades importantes que tengan un impacto directo y demostrable en la seguridad de nuestros usuarios. Los informes sobre vulnerabilidades que se envíen deben cumplir los siguientes criterios para que puedan optar a un premio de recompensa: 

  • Identificar una vulnerabilidad que no se haya notificado antes en alguno de los servicios o productos que entran dentro del ámbito del programa. 
  • Incluir una relación clara, concisa y reproducible de los pasos que deben seguirse, ya sea por escrito o en un vídeo, para ayudar a nuestro ingeniero a comprender, reproducir y corregir rápidamente el problema.  
    • Esto permite procesar los envíos con la mayor rapidez posible y favorece la obtención de premios de recompensa superiores. 

CÓMO COMENZAR 

¿CÓMO SE DETERMINAN LOS IMPORTES DE LOS PREMIOS? 

Los premios de recompensa oscilan entre 500 y 20 000 USD. Microsoft, a su entera discreción, puede conceder premios superiores en función de la gravedad y el impacto de la vulnerabilidad y la calidad del envío. Los investigadores que proporcionen envíos que no cumplan los criterios para obtener un premio de recompensa pueden obtener un reconocimiento público si su envío da lugar a que se corrija una vulnerabilidad. 

Impacto en la seguridad

Calidad del informe

Gravedad

Crítico

Importante

Moderado

Baja

Ejecución remota de código

Alta

Media

Baja

20 000 USD

15 000 USD

10 000 USD

15 000 USD

10 000 USD

5000 USD

0 USD

0 USD

Elevación de privilegios

Alta

Media

Baja

8000 USD

4000 USD

3000 USD

5000 USD

2000 USD

1.000 USD

0 USD

0 USD

Revelación de información

Alta

Media

Baja

8000 USD

4000 USD

3000 USD

5000 USD

2000 USD

1.000 USD

0 USD

0 USD

Suplantación de identidad

Alta

Media

Baja

N/D

3000 USD

1200 USD

500 USD

0 USD

0 USD

Alteraciones

Alta

Media

Baja

N/D

3000 USD

1200 USD

500 USD

0 USD

0 USD

Denegación de servicio

Alta/baja

Fuera del ámbito

N/A: Las vulnerabilidades que causan el impacto en la seguridad que se indica no son aptas para esta categoría de gravedad. 

Se considera un informe de alta calidad el que proporciona la información necesaria para que un ingeniero pueda reproducir, comprender y corregir rápidamente el problema. Normalmente, incluye una breve reseña o un vídeo donde se exponen los antecedentes necesarios, una descripción del error y una prueba de concepto (PoC). Aquí puede ver algunos ejemplos de informes de alta y baja calidad.  

Somos conscientes de que algunos errores son extremadamente difíciles de reproducir y comprender, y esto se tendrá en cuenta cuando se valore la calidad de un envío. 

VULNERABILIDADES DENTRO DEL ÁMBITO DEL PROGRAMA 

Los siguientes son ejemplos de vulnerabilidades que pueden tener uno o varios de los impactos anteriores en la seguridad: 

  • Scripts entre sitios (XSS). 
  • Falsificación de solicitud entre sitios (CSRF). 
  • Alteración o acceso a datos entre inquilinos. 
  • Referencias directas a objetos inseguras. 
  • Deserialización insegura. 
  • Vulnerabilidades por inyección. 
  • Ejecución de código del lado servidor. 
  • Errores importantes en la configuración de la seguridad (no causados por el usuario). 
  • Alteración o acceso a datos entre inquilinos sin autorización. 

VULNERABILIDADES FUERA DEL ÁMBITO DEL PROGRAMA   

Microsoft está encantado de recibir todos los envíos y revisarlos caso por caso, pero es posible que algunos envíos y tipos de vulnerabilidades no cumplan los requisitos para obtener premios de recompensa. Los siguientes son algunos de los problemas más comunes de baja gravedad o que están fuera del ámbito del programa que, normalmente, no ganan premios de recompensa:  

 

  • Vulnerabilidades divulgadas públicamente que ya se le hayan notificado a Microsoft o que ya estén en conocimiento de la amplia comunidad de expertos en seguridad. 
  • Vulnerabilidades en cualquier versión que no sea la más reciente, totalmente actualizada en el momento del envío. 
  • Vulnerabilidades basadas en la configuración o la acción del usuario, por ejemplo: 
    • Vulnerabilidades basadas en contenido generado por el usuario o aplicaciones creadas por el usuario. 
    • Vulnerabilidades que requieren una acción extensa o improbable del usuario. 
    • Configuración incorrecta de la seguridad de un servicio establecida por un usuario o un administrador. 
  • Vulnerabilidades basadas en soluciones de terceros; por ejemplo: 
    • Vulnerabilidades en software de terceros. 
    • Vulnerabilidades en extensiones de terceros. 
    • Vulnerabilidades en tecnologías de la plataforma que no son exclusivas de Dynamics 365 (por ejemplo, IIS, OpenSSL, etc.). 
  • Vulnerabilidades fuera del ámbito, como las siguientes: 
    • Divulgación de información del lado servidor. 
    • Ataques de denegación de servicio (DoS).  
    • Vulnerabilidades de reproducción de cookies. 
  • Vulnerabilidades en otros productos de Microsoft. 
    • Vea la lista completa de programas de recompensas para conocer otros productos y servicios de Microsoft que pueden optar a una recompensa.
  • Los recursos de aprendizaje, la documentación y los sitios de la comunidad relacionados con productos de Dynamics 365 no están dentro del ámbito para obtener premios de recompensa. Por ejemplo, los siguientes sitios:
    • experience.dynamics.com
    • community.dynamics.com

   

Microsoft puede rechazar cualquier envío si determina, a su entera discreción, que entra dentro de alguna de estas categorías, incluso si puede optar a una recompensa de otro modo.  

¿CÓMO DEBO PROPORCIONAR MI ENVÍO? 

Envíe su trabajo completo a Microsoft usando el portal de envíos del MSRC, siguiendo las directrices para el envío de informes de errores. Debe seguir el principio de divulgación de vulnerabilidades coordinada cuando notifique todas las vulnerabilidades. Haremos un esfuerzo razonable por aclarar los envíos que sean indescifrables o estén incompletos.     

 

¿Tiene preguntas? Siempre estamos disponibles en la dirección secure@microsoft.com.  

PREMIOS DE RECOMPENSA 

Microsoft se reserva el derecho a determinar, a su entera discreción, los importes de los premios y qué envíos están dentro del ámbito del programa.  

  • No hay restricciones en cuanto al número de envíos admisibles que puede realizar una persona o el número de premios que puede recibir.  
  • Si recibimos varios informes de error de diferentes autores sobre el mismo problema, la recompensa se le concederá al primero que lo envíe. 
  • Si un informe duplicado proporciona información nueva que Microsoft desconocía, puede concedérsele un premio diferencial.  
  • Si un envío tiene posibilidades de participar en varios programas de recompensas, solo obtendrá el premio con el importe más alto de uno solo de esos programas. 

TÉRMINOS Y CONDICIONES DE LOS PROGRAMAS DE RECOMPENSAS 

Si desea obtener más información sobre los requisitos y las directrices legales de los programas de recompensas de Microsoft, consulte los Términos y condiciones de los programas de recompensas y las preguntas más frecuentes. 

HISTORIAL DE REVISIONES 

  • 17 de julio de 2019: Lanzamiento del programa.
  • 29 de julio de 2019: Se quitan los dominios de la documentación y los recursos de aprendizaje del ámbito del programa, incluidos experience.dynamics.com y community.dynamics.com.