BLACK BAG SECURITY offense-led security for high-consequence systems
EN / TH / FR

Políticas

Superficie de políticas en lenguaje claro para intervenciones: anticorrupción, confidencialidad y manejo de datos, y divulgación.

Postura anticorrupción

No se permiten pagos indebidos, regalos ni pagos de facilitación. El cumplimiento de las leyes anticorrupción aplicables es obligatorio.

Modelo de confidencialidad

Datos propiedad del cliente, recolección mínima, almacenamiento e intercambio controlados y retención por acuerdo.

Resumen de divulgación

Divulgación coordinada por defecto, con aprobaciones del cliente y plazos situacionales.

Anticorrupción

  • Cumplimos las leyes anticorrupción y antisoborno aplicables en las jurisdicciones donde operamos.
  • No ofrecemos, solicitamos, autorizamos ni aceptamos pagos indebidos, comisiones ilegales ni pagos de facilitación.
  • Los regalos u hospitalidad, si existen, deben ser legales, modestos y nunca vinculados a adquisiciones o resultados de la intervención.
  • Las sospechas de infracción se escalan internamente y se informan por los canales acordados con el cliente cuando sea necesario.

Confidencialidad y manejo de datos

  • Los datos y la evidencia del cliente siguen siendo propiedad del cliente.
  • Recogemos solo lo necesario para validar hallazgos y demostrar impacto.
  • Las ventanas de retención y eliminación se fijan por acuerdo escrito.
  • Los artefactos se almacenan y transfieren mediante canales controlados y aprobados.
  • El acceso al material del cliente se limita a personal autorizado sobre base de necesidad de saber.
  • El uso de herramientas de IA con datos del cliente requiere aprobación escrita explícita y límites acordados.

Resumen de la política de divulgación

  • Utilizamos divulgación coordinada y alineación de partes interesadas por defecto.
  • Los planes de divulgación se acotan con aprobación del cliente antes de cualquier comunicación externa.
  • Los plazos son situacionales y dependen del riesgo operacional, el estado de remediación y las restricciones legales.
  • No divulgamos públicamente hallazgos de clientes sin permiso escrito salvo que la ley lo exija.

Conducta responsable

  • El trabajo se realiza solo dentro del alcance autorizado y en ventanas de prueba aprobadas.
  • La seguridad de producción, las condiciones de parada y las rutas de escalado se aplican durante toda la ejecución.
  • La identidad del cliente y los detalles de la intervención no se comparten públicamente sin permiso escrito.

Prácticas de confianza ->

Preguntas sobre políticas ->