Condiciones generales del servicio

Las presentes Condiciones Generales del Servicio (en adelante, “CGS”) regulan la prestación del servicio de certificación de seguridad web UareSAFEofrecido por SOLUCIONES CUATROOCHENTA, S.A. (en adelante, “Sofistic” o el “Prestador”) a las empresas o profesionales que lo contraten (en adelante, el “Cliente”).

La contratación del servicio implica la aceptación plena y sin reservas de estas CGS.

UareSAFE es un servicio de evaluación, certificación y monitorización de la seguridad de sitios web. Sofistic ofrece cuatro niveles de servicio:

Los precios indicados son orientativos y pueden variar. El precio definitivo queda fijado en el pedido de contratación.

• Ejecutar la auditoría de seguridad web sobre el dominio contratado según los controles y metodología publicados en uaresafe.com.
• Emitir el certificado UareSAFE si el dominio supera los umbrales establecidos para el tier contratado.
• Proporcionar el widget de verificación en tiempo real y mantener operativa la API que lo sustenta durante toda la vigencia del contrato.
• Notificar al Cliente con al menos 30 días de antelación cualquier cambio material en la metodología de evaluación.
• Mantener la confidencialidad de los datos e informes del Cliente.
• Realizar las revisiones periódicas según la frecuencia del tier contratado.

Sofistic ejecuta sobre el dominio contratado dos categorías de pruebas técnicas claramente diferenciadas:

• Pruebas pasivas (siempre incluidas en cualquier tier): consisten en la lectura de información públicamente disponible del dominio, consultas DNS estándar, análisis de cabeceras HTTP, examen de respuestas del servidor y comprobaciones que no implican el envío de cargas activas. No alteran el estado del sistema auditado.
• Pruebas activas suaves (opcionales y sujetas a autorización expresa del Cliente): incluyen el envío de cadenas centinela inocuas, peticiones HTTP con métodos estándar (entre otros, OPTIONS, TRACE o PUT con cuerpo vacío), verificación controlada de redirecciones, pruebas de transferencia de zona DNS y comprobaciones equivalentes orientadas a detectar vulnerabilidades de configuración (open redirect, CORS mal configurado, métodos HTTP peligrosos, subdomain takeover, entre otras). Estas pruebas se diseñan para no afectar a la disponibilidad ni a la integridad del servicio.

Las pruebas activas suaves no incluyen, en ningún caso: explotación de vulnerabilidades detectadas, ataques de fuerza bruta de credenciales, denegación de servicio (DoS/DDoS), manipulación o destrucción de datos, suplantación de identidad ni acceso no autorizado a información del Cliente o de sus usuarios.

Las pruebas activas suaves se ejecutan únicamente si el Cliente ha marcado de forma expresa la autorización correspondiente en el formulario de contratación (campo “Autorizo pruebas técnicas no destructivas”) o si la activa con posterioridad desde el panel del cliente. En ausencia de dicha autorización, la auditoría se limitará exclusivamente a pruebas pasivas.

El Cliente puede revocar la autorización en cualquier momentocomunicándolo a Sofistic a través del formulario de contacto o del panel del cliente. La revocación surtirá efecto en el siguiente ciclo de auditoría programado tras su recepción.

Sofistic no será responsable de incidencias derivadas de fallos de configuración del Cliente que se manifiesten al ejecutar pruebas activas suaves dentro del ámbito autorizado y descrito en la metodología publicada en uaresafe.com (a título enunciativo: registros de seguridad inundados, alertas en SIEM o WAF del Cliente, bloqueos automáticos de IPs de auditoría). Sofistic sí responderá, en los términos del apartado VIII de estas CGS, en caso de que una prueba activa exceda los métodos descritos en dicha metodología publicada.

• Abonar el importe del servicio contratado según las condiciones de pago.
• No manipular, alterar ni intentar falsificar el widget UareSAFE ni su API.
• Notificar a Sofistic cualquier cambio de dominio, titular o infraestructura que pueda afectar a la certificación.
• No utilizar el sello UareSAFE en dominios distintos al certificado sin autorización expresa.
• No sublicenciar ni ceder el uso del sello a terceros.
• Proporcionar información veraz durante el proceso de verificación legal.
• Informar a los visitantes del sitio certificado, en su propia política de privacidad y de cookies, de la presencia del widget UareSAFE y del tratamiento de telemetría anónima asociado al servicio de Inteligencia de tráfico, en los términos descritos en la Política de privacidad y la Política de cookies de uaresafe.com. Sofistic pone a disposición del Cliente un texto tipo listo para insertar.

La certificación UareSAFE tiene una vigencia anual desde la fecha de emisión del certificado. La certificación puede ser:

Las condiciones bloqueantes que impiden la certificación o provocan revocación inmediata son: presencia en Google Safe Browsing, malware activo, sanción por fraude en registro mercantil, certificado TLS expirado, CVE crítico sin parchear más de 30 días, e investigación criminal activa.

• El servicio se abona anualmente por adelantado antes del inicio de la auditoría.
• No se realizarán devoluciones una vez iniciada la auditoría, independientemente del resultado.
• El Cliente tiene 90 días para reintentar la certificación sin coste adicional si no supera el umbral en el primer intento.
• Las renovaciones anuales se notificarán con 30 días de antelación.
• El upgrade de tier es posible en cualquier momento; se aplica la diferencia proporcional al tiempo restante del período vigente.
• El downgrade de tier aplica en la siguiente renovación anual.

La certificación UareSAFE es una evaluación técnica puntual y de buenas prácticas. Sofistic no garantiza que el sitio certificado esté libre de toda vulnerabilidad de seguridad. La responsabilidad total de Sofistic en el marco de estas CGS queda limitada al importe abonado por el Cliente en el año en curso.

Sofistic no será responsable por daños indirectos, pérdida de beneficios, pérdida de datos ni daños derivados de brechas de seguridad que ocurran en dominios certificados.

La certificación UareSAFE no sustituye ni equivale a certificaciones regulatorias como ENS, ISO 27001, SOC 2, PCI DSS u otras.

Sofistic se reserva el derecho de modificar estas CGS en cualquier momento. Los cambios materiales se notificarán al Cliente con al menos 30 días de antelación. El uso continuado del servicio tras la entrada en vigor de los cambios implica la aceptación de los mismos.

Las presentes CGS se rigen por la legislación española. Para la resolución de cualquier controversia derivada de la interpretación o cumplimiento de estas condiciones, las partes se someten expresamente a los Juzgados y Tribunales de la ciudad de Castellón de la Plana, renunciando a cualquier otro fuero que pudiera corresponderles.

En el caso de que el Cliente tenga la condición de consumidor, se estará a lo dispuesto en la normativa de defensa de los consumidores y usuarios aplicable en el domicilio del consumidor.