Saltar al contenido principal
Si tiene una suscripción de pago de Auth0, puede realizar una prueba de seguridad de su aplicación que involucre la infraestructura de Auth0 (p. ej., your-tenant.auth0.com) con aprobación previa.

Enviar una solicitud de prueba de penetración

Para realizar una prueba de seguridad, notifíquenos con antelación a través del Centro de soporte. Auth0 exige un aviso con al menos 7 días de antelación respecto a la fecha prevista de inicio de la prueba. Si la prueba se limita a su infraestructura (es decir, no se realizarán pruebas sobre los servicios de Auth0), no necesita notificar a Auth0.

Información requerida

Proporcione la siguiente información en el ticket de soporte al solicitar la aprobación para realizar pruebas:
  • Las fechas y horas específicas de la prueba, así como la zona horaria. No se permiten pruebas durante un período de congelación de cambios. Para obtener más información, consulte la política de pruebas de penetración durante la congelación de cambios que aparece a continuación.
  • El alcance y el propósito de la prueba
  • Las direcciones IP desde las que se realizará la prueba
  • Las herramientas que se prevé utilizar
  • Solicitudes por segundo (la prueba debe cumplir con la Política de límites de tasa)
  • Los tenants de Auth0 involucrados
  • Dos contactos —número de teléfono y correo electrónico— que estarán disponibles durante todo el período de prueba en caso de que necesitemos comunicarnos con usted. Si tenemos alguna pregunta, haremos un intento razonable por contactarlo. Si no logramos comunicarnos con usted, nos reservamos el derecho de tomar medidas para proteger el servicio, lo que puede incluir desactivar o bloquear su tenant y/o la fuente del tráfico intrusivo.

Política de congelación de cambios

No se permiten pruebas de penetración durante los períodos de congelación de cambios.
Para consultar los períodos de congelación de cambios programados actualmente, lee la Política de congelación de cambios.

Requisitos de las pruebas

Auth0 exige que:
  • La prueba se limite únicamente a su tenant
  • La cantidad de solicitudes por segundo de la prueba no debe superar los límites definidos en nuestra Política de límites de tasa
  • Informe cualquier hallazgo sospechoso al equipo de Seguridad de Auth0 para su explicación o análisis

Reportar vulnerabilidades identificadas

Para reportar cualquier vulnerabilidad identificada, consulta la Política de reporte de vulnerabilidades.

Restricciones

  • No puede realizar ningún tipo de prueba de denegación de servicio (DoS) ni ataques volumétricos no autorizados contra ningún tenant o espacio. Consulte load testing para obtener más información.
  • No puede realizar pruebas de penetración dirigidas a nuestro panel de administración. Se permiten las API de Management y Authentication.
  • No puede realizar pruebas de penetración dirigidas a tenants que no hayan sido aprobados por nosotros.

Clientes de Private Cloud

Los clientes de Private Cloud también deben solicitar autorización para realizar una prueba de penetración a través del centro de soporte de Auth0. Incluyan la información indicada anteriormente en su solicitud de soporte.

Más información