Código de conducta - Internet Cleanup Foundation

Descargo de responsabilidad: El original de esta página está escrito en neerlandés. Esta página se ha traducido automáticamente a otros idiomas utilizando DeepL. Esto puede dar lugar a diferencias de matiz, tono y significado. En caso de duda, consulta siempre primero la versión neerlandesa. Debido al elevado coste de las traducciones, esta página puede ir por detrás de la versión neerlandesa en cuanto a contenido. Consideramos que la versión neerlandesa de esta página es la principal.

Código de Conducta de la Fundación para la Limpieza de Internet versión 1.0

Los voluntarios de la Fundación para la Limpieza de Internet realizan sus actividades de acuerdo con este código de conducta.

La Fundación para la Limpieza de Internet es una fundación holandesa cuyo objetivo es hacer que Internet sea segura. Los objetivos subyacentes son una sociedad resistente frente a las amenazas online y que todo el mundo pueda utilizar Internet de forma segura. Lo hacemos, en parte, proporcionando información sobre la disponibilidad, integridad y confidencialidad de los servicios digitales. Por ejemplo, visualizando la aplicación de medidas de seguridad digital.
Este código de conducta sienta las bases éticas de nuestras actividades. Es esencial porque implica trabajar con datos potencialmente sensibles y, en la mayoría de los casos, sin consentimiento previo ni acuerdo de tratamiento.
Nos ocupamos de:
1. la búsqueda (automatizada) de dominios y la medición automatizada de (medidas de protección contra) vulnerabilidades en la infraestructura digital
2. visualizar a escala inmensa la aplicación/falta de requisitos de seguridad cuando sea éticamente aceptable publicarlo (ver política de publicación)
3. comunicar estos hallazgos de la forma más pública posible, con el objetivo de que se resuelvan las vulnerabilidades que puedan existir
4. Trabajar con organizaciones de confianza para resolver estas vulnerabilidades
Somos conscientes de que pisamos el límite de lo legalmente permisible. Por ello, nuestras actividades se basan en consideraciones cuidadosas. Las actividades deben cumplir siempre las siguientes bases:
1. Beneficio social: actuamos en interés público porque creemos que Internet debe ser un lugar seguro para todos. Nuestras actividades no están motivadas por intereses económicos, políticos o individuales.
2. Proporcionalidad: el objetivo es aumentar la disponibilidad, integridad y confidencialidad de los servicios en línea, con el objetivo superior de hacer que la sociedad sea más segura. Nuestros esfuerzos pretenden aumentar la seguridad y no debilitarla.
3. Subsidiariedad: siempre se elige la solución que alcanza el objetivo con el menor impacto.
Somos meticulosos: las mediciones son verificables, fundamentadas y claramente formuladas. Creamos y utilizamos herramientas de medición que son de alta calidad y no causan daños a los sistemas ni a la infraestructura. Las mediciones nunca se realizan más allá de lo necesario para demostrar la vulnerabilidad o la falta de una medida de seguridad.
Somos conscientes de la complejidad de Internet y de la infraestructura digital. Por ello, se aplica a las medidas el principio de cumplir o explicar. Esto crea una norma sobre qué excepciones a la seguridad básica son aceptables y en qué situación. Esta política se publica públicamente para que las organizaciones puedan cumplirla. Se acepta una explicación si se trata de una solución «por diseño». En el caso de las explicaciones que indiquen errores de medición, se centran más las herramientas de medición y se actualiza la medición.
Medimos y publicamos a escala nacional y nos dirigimos a industrias enteras y a organizaciones paraguas relevantes. Tratamos a todas las organizaciones como iguales y esperamos que todas cumplan los mismos requisitos de seguridad.
Las vulnerabilidades se publican, si es posible, de acuerdo con este código de conducta. La publicación tiene una serie de características por las que nos esforzamos explícitamente:
1. A las personas con menos conocimientos de seguridad digital les queda claro lo bien que manejan la seguridad las organizaciones. Pueden sacar conclusiones de ello y presionar para mejorar,
2. La seguridad se hace tangible para los conductores, permitiéndoles dirigirse hacia ella en lugar de navegar a ciegas,
3. Evita que una enorme organización de personal tenga que abordar y hacer un seguimiento individual de cada vulnerabilidad,
4. Está surgiendo la transparencia: del alcance de los servicios en línea y de su calidad. Esta imagen falta en muchas organizaciones, por lo que, por ejemplo, los sistemas se olvidan, permanecen sin parches y se vuelven cada vez más vulnerables.
5. Estamos haciendo público lo que ya es público, al tiempo que protegemos lo que debería estar protegido. En otras palabras, «Öffentliche Daten nützen, private Daten schützen».
Las mediciones publicadas son actuales. Se repiten periódicamente y, en la mayoría de los casos, no tienen más de 2 meses. Como resultado, cada organización que se mide controla su propia evaluación.
Informamos de las vulnerabilidades básicas de seguridad comunicándolas públicamente y lo más ampliamente posible. El propietario de los sistemas es responsable de resolver los hallazgos.
Todos los que participan en las actividades de la Fundación conocen estas normas de conducta y velan por su cumplimiento. Si alguien no cumple estas normas de conducta, se toman medidas. Una de esas medidas es, por ejemplo, la denegación de acceso a proyectos e infraestructuras.
Antes de publicar información sobre nuevos grupos de organizaciones, se contactará con las organizaciones paraguas para anunciar y agilizar la publicación para un aterrizaje suave con los responsables. Tras un periodo de aterrizaje de al menos un mes, se procederá a la publicación.
Los nuevos tipos de medidas se anuncian a las organizaciones paraguas. Esto les da la oportunidad de remitirlas a sus participantes para un seguimiento rápido.
Aplicamos los lemas hacker «sé excelente con los demás» y «todas las criaturas son bienvenidas» a los modales sociales en la fundación.

Este código de conducta se inspira en el del Instituto Holandés para la Divulgación de Vulnerabilidades, al que damos las gracias.