INTRODUCCIÓN Y FINALIDAD

En este documento se describen las reglas unificadas (“reglas de interacción”) para los clientes que desean realizar pruebas de penetración en sus componentes de Microsoft Cloud (se define a continuación). En muchos casos, Microsoft Cloud utiliza una infraestructura compartida para hospedar sus recursos y los de otros clientes. Debe tener cuidado de limitar todas las pruebas de penetración a sus recursos y evitar consecuencias no deseadas para otros clientes en torno a usted. Estas reglas de interacción están diseñadas para permitirle evaluar de manera efectiva la seguridad de sus recursos y, al mismo tiempo, evitar perjudicar a otros clientes o a la propia infraestructura.
 
Todas las pruebas de penetración deben seguir las reglas de interacción para pruebas de penetración de Microsoft Cloud que se detallan en esta página. Su uso de Microsoft Cloud seguirá estando sujeto a los términos y condiciones de los contratos bajo los que adquirió el servicio en cuestión. Cualquier infracción de estas reglas de interacción o de los términos del servicio pertinente puede dar lugar a la suspensión o terminación de su cuenta y a acciones legales, como se estipula en los Términos de los Servicios en línea de Microsoft. Usted es responsable de cualquier daño que cause a Microsoft Cloud y a los datos o al uso de Microsoft Cloud de otros clientes como consecuencia del incumplimiento de estas reglas de interacción o de los Términos de los Servicios en línea de Microsoft.

SCOPE

A efectos de estas reglas de interacción, “Microsoft Cloud” incluye los siguientes productos de Microsoft:
  • Azure Active Directory
  • Microsoft Intune
  • Microsoft Azure
  • Microsoft Dynamics 365
  • Cuenta Microsoft
  • Office 365
  • Azure DevOps

NOTIFICACIÓN DE PROBLEMAS DE SEGURIDAD

Si, durante las pruebas de penetración, cree haber descubierto un posible problema de seguridad relacionado con Microsoft Cloud o con cualquier otro servicio de Microsoft, debe notificárselo al Centro de respuestas de seguridad de Microsoft (MSRC) en el https://msrc.microsoft.com. Si ha notificado alguna vulnerabilidad válida al MSRC, se compromete a no divulgar la información de esta vulnerabilidad públicamente ni a ningún tercero hasta que Microsoft le haya comunicado que ha corregido la vulnerabilidad. Todas las vulnerabilidades notificadas deben seguir el principio de divulgación de vulnerabilidades coordinada.
 
Microsoft ofrece premios de recompensa y reconocimiento por la detección de muchos tipos de problemas de seguridad. Si encuentra un problema de seguridad en Microsoft Cloud y desea que se le tenga en cuenta para una recompensa, debe seguir las reglas de los programas de recompensas por la detección de errores y las directrices para el envío, que puede consultar aquí. Para recibir una recompensa, una organización debe completar un proceso de registro previo para poder participar en un programa. Envíe un correo electrónico a la dirección bounty@microsoft.com para obtener todos los detalles.

REGLAS DE INTERACCIÓN PARA LLEVAR A CABO PRUEBAS DE PENETRACIÓN EN MICROSOFT CLOUD

El objetivo de este programa es permitir a los clientes probar los servicios que tienen hospedados en Microsoft Cloud sin causar ningún perjuicio a otros clientes de Microsoft.
 
Están prohibidas las siguientes actividades:
  • Examinar o probar recursos que pertenezcan a otros clientes de Microsoft Cloud.
  • Obtener acceso a cualquier información que no sea íntegramente de su propiedad.
  • Realizar cualquier tipo de prueba de denegación de servicio.
  • Realizar pruebas intensivas de vulnerabilidad ante datos aleatorios o inesperados de la red en cualquier recurso que no sea su instancia de Azure Virtual Machines.
  • Realizar pruebas automatizadas de los servicios que generen un volumen de tráfico considerable.
  • Acceder deliberadamente a los datos de cualquier otro cliente.
  • Ir más allá de los pasos de reproducción de la “prueba de concepto” para los problemas de ejecución de la infraestructura (por ejemplo, probar que tiene acceso de administrador del sistema con SQLi es aceptable, pero ejecutar xp_cmdshell no lo es).
  • Usar nuestros servicios de una forma que infrinja la directiva de uso aceptable, como se establece en los Términos de los Servicios en línea de Microsoft.
  • Intentar ataques de suplantación de identidad (phishing) u otros ataques de ingeniería social contra nuestros empleados.
Se recomiendan las siguientes actividades:
  • Crear un número reducido de cuentas y/o inquilinos de prueba para demostrar el acceso a datos entre cuentas o inquilinos. Sin embargo, está prohibido el uso de estas cuentas para acceder a datos de otro cliente u otra cuenta.
  • Llevar a cabo pruebas de vulnerabilidad ante datos aleatorios o inesperados, realizar examen de puertos o ejecutar herramientas de evaluación de vulnerabilidades en sus propias instancias de Azure Virtual Machines.
  • Realizar pruebas de carga en su aplicación generando el tráfico que cabe esperar durante el transcurso normal de su negocio. Esto incluye la capacidad de soportar picos de actividad.
  • Probar la supervisión de la seguridad y la detección de posibles problemas; por ejemplo, generar registros de seguridad anómalos, eliminar EICAR, etc.
  • Intentar salir de un contenedor de servicio compartido, como Azure Websites o Azure Functions. Sin embargo, en el caso de que lo consiga, debe comunicárselo de inmediato a Microsoft y no profundizar más. El acceso deliberado a los datos de otro cliente constituye una infracción de los términos.
  • Aplicar directivas de acceso condicional o de administración de aplicaciones móviles (MAM) en Microsoft Intune para probar el cumplimiento de la restricción impuesta por esas directivas.
Incluso con estas prohibiciones, Microsoft se reserva el derecho a responder a cualquier acción en su red que parezca malintencionada. En Microsoft Cloud, se usan muchos mecanismos de mitigación automatizados. Estos mecanismos no se deshabilitarán para facilitar las pruebas de penetración.