Carta de Ciberseguridad Responsable

---

🌍 Por un ecosistema PrestaShop más seguro y responsable

Las vulnerabilidades en PrestaShop forman parte del ciclo de vida natural de cualquier software. Reconocerlas, corregirlas y publicarlas de forma responsable es una señal de profesionalismo y un compromiso ético hacia los comerciantes, agencias y toda la comunidad PrestaShop.

Esta carta está dirigida a los desarrolladores de módulos que deseen comprometerse con una estrategia transparente y de confianza.

Esta carta da continuidad a los anuncios realizados durante la Dev PrestaShop Conference 2024, la cual fue objeto de un artículo en el blog oficial de PrestaShop.

Solo los desarrolladores que venden en el Marketplace de PrestaShop y se adhieren a esta carta serán elegibles-por razones legales (en particular, la reciprocidad de la cláusula de no agresión impuesta por YesWeHack)-para nuestro programa de Bug Bounty lanzado en YesWeHack, en colaboración con PrestaShop SA.

Esta iniciativa, completamente gratuita, es ofrecida por TouchWeb con el espíritu de contribuir de manera responsable al ecosistema de PrestaShop. No se exige ningún pago para adherirse a la carta, utilizar el distintivo o aparecer entre los firmantes.

---

🎯 Objetivos de la carta

• Fomentar la divulgación responsable de las vulnerabilidades corregidas.
• Normalizar las buenas prácticas de seguridad dentro del ecosistema PrestaShop.
• Crear un clima de confianza duradero entre desarrolladores, comerciantes y profesionales de la seguridad.

🔐 Cumplimiento PCI DSS: un reto para todos los comerciantes

Todos los comercios que aceptan pagos en línea deben cumplir con el estándar de seguridad PCI DSS. (Payment Card Industry Data Security Standard), o a una de sus versiones simplificadas - como mínimo, la SAQ-A - cuando utilizan un proveedor de servicios de pago mediante redirección o iframe (por ejemplo: PayPal, Stripe, PayPlug, etc.).

La sección 6.2 de la norma exige la aplicación rápida de parches de seguridad para todas las vulnerabilidades identificadas, incluidas las presentes en los módulos de PrestaShop utilizados por el comerciante. Esta exigencia implica:

• Que los desarrolladores publiquen las vulnerabilidades corregidas con al menos un nivel mínimo de detalle técnico
• Que esta información pueda ser procesada por sistemas VMS (sistemas de gestión de vulnerabilidades), lo que permite a comerciantes, agencias o proveedores técnicos identificar y priorizar los parches a aplicar

La carta también tiene como objetivo permitir a los profesionales del comercio electrónico cumplir con sus obligaciones contractuales con sus bancos o proveedores de servicios de pago.

Para los perfiles más técnicos: la tolerancia actual concedida por los reguladores en relación con los SAQ se basa en un desconocimiento de las especificidades de los CMS de comercio electrónico. Si los editores e integradores no asumen rápidamente su responsabilidad en materia de seguridad, esta tolerancia podría desaparecer, obligando a muchos comerciantes a pasar del SAQ A al SAQ A-EP, mucho más exigente en términos de cumplimiento. Esta evolución será inevitable en cuanto los reguladores tomen conciencia de la necesidad de controlar la integridad de las páginas de pago para hacer frente a los web skimmers modernos. Los ataques evolucionan: el XSS tradicional con exfiltración off-site está siendo sustituido por vulnerabilidades RCE que incorporan SSRF, donde la exfiltración se produce desde el propio servidor, anulando la eficacia de las políticas CSP. Solo una seguridad activa - con herramientas como WAF, IPS y FIM - puede hacer frente eficazmente a esta amenaza hoy en día.

📜 Compromisos del Adherente

Al unirte a esta carta, te comprometes a:

1. 🔍 Reconocer que existen vulnerabilidades

Ningún software es perfecto. Una vulnerabilidad descubierta, corregida y publicada de forma responsable es una muestra de seriedad del editor, no un fracaso.

2. 💬 Seguir prácticas de divulgación responsable

Te comprometes a responder con respeto y constructividad a cualquier persona que informe sobre una vulnerabilidad con una puntuación CVSS validada por TouchWeb ≥ 7.5 (o ≥ 4.0 si es posible), evitando la negación o las amenazas legales.

Se debe proporcionar una respuesta inicial dentro de los 7 días naturales para confirmar la recepción e iniciar el tratamiento.

Un parche debe estar disponible en un máximo de 30 días naturales y ser publicado oficialmente entre 3 y 12 meses después, según la complejidad y la gravedad.

3. 📝 Publicar responsablemente cada vulnerabilidad corregida

Te comprometes a documentar claramente cada corrección con una puntuación CVSS ≥ 7.5 (o ≥ 4.0 si es posible), incluyendo:

• Versiones afectadas
• Descripción clara de la vulnerabilidad y su impacto
• Cuando sea posible, un parche mínimo independiente para integradores
• Un ID CVE y un boletín de seguridad correspondiente

Una parte importante de los comerciantes no conoce el concepto de MCS (Mantenimiento en Condiciones de Seguridad). Como consecuencia, observamos con frecuencia prácticas cuestionables en cuanto a la actualización de módulos, incluso cuando se han corregido vulnerabilidades críticas.

Desde el punto de vista legal, como desarrolladores de módulos, ustedes están protegidos por el copyleft heredado de la licencia de PrestaShop. Sin embargo, este no es el caso de las agencias e infogestores, quienes asumen plenamente la responsabilidad legal del PAR (Plan de Atenuación de Riesgos) en los entornos de los clientes (TMA, infogestión).

Por eso, les pedimos, por solidaridad profesional, que proporcionen una corrección en forma de un parche simple y rápido de aplicar cuando se resuelva un problema de seguridad. Una actualización completa del módulo será, en muchos casos, rechazada por el cliente final: por precaución, por falta de presupuesto o por desconocimiento de los riesgos. Un parche puntual permite actuar de forma rápida y eficaz.

TouchWeb puede ayudarles: también somos desarrolladores PHP, y podemos acompañarles en la redacción de un parche mínimo, estable y distribuible, para que su respuesta esté a la altura de los desafíos técnicos y éticos.

Es importante destacar un antagonismo estructural: publicar un parche es indispensable, pero también implica exponer públicamente el vector de la vulnerabilidad, lo que permite mecánicamente a cualquier atacante de nivel intermedio o avanzado deducir un PoC (Proof of Concept - una carga maliciosa utilizada para explotar la falla).

Es una tensión bien conocida: corregir ya implica una divulgación parcial.

TouchWeb SAS nunca ha publicado un PoC específico, salvo en casos de explotación comprobada detectada a través de nuestras herramientas de monitoreo de señales débiles. En esos casos, su publicación se convierte en una medida defensiva, especialmente para aquellas soluciones técnicas que no siguen las recomendaciones del proyecto OWASP CRS y que dependen de mecanismos basados en listas negras que requieren firmas concretas para funcionar eficazmente.

4. 🚫 No corregir nunca en silencio

Los usuarios deben ser informados sin barreras ni opacidad.

Los proveedores de módulos de marca blanca deben exigir contractualmente a sus clientes publicar vulnerabilidades corregidas mediante un aviso con CVE. La transparencia no puede ser sacrificada por la confidencialidad comercial.

La transparencia en temas de seguridad nunca debe verse obstaculizada por cláusulas de confidencialidad.

En caso de duda sobre el impacto, TouchWeb se compromete a ayudar con el análisis CVSS.

5. 📦 Proporcionar módulos a solicitud

Autorizas al equipo DevSecOps de TouchWeb a solicitar una copia completa de uno o más de tus módulos como parte de un proceso preventivo o correctivo.

Esta solicitud está sujeta a confidencialidad, salvo que se identifique una vulnerabilidad CVSS ≥ 7.5.

6. 🛡️Página de Seguridad Pública

Los desarrolladores de módulos se comprometen a mantener una página públicamente accesible (denominada su “página de seguridad”), que será referenciada en esta página por TouchWeb.

Esta página, indexable por los motores de búsqueda (Google, Bing, etc.), debe reflejar su postura en materia de ciberseguridad e incluir explícitamente los siguientes compromisos:

• Definir un procedimiento claro para informar vulnerabilidades.
• Comprometerse con una política de gestión de vulnerabilidades documentada y accesible.
• No emprender acciones legales contra investigadores o colaboradores de buena fe que actúen de forma responsable, incluso vía YesWeHack (cláusula de no demanda recíproca).
• Publicar un aviso con CVE para puntuaciones CVSS validadas ≥ 7.5 (o ≥ 4.0 si es políticamente viable).
• Autorizar formalmente a TouchWeb SAS a listar vulnerabilidades en https://www.touchweb.fr
• Mostrar un enlace a esta carta con el distintivo de confianza de TouchWeb.

Esto fomenta la confianza con investigadores, agencias y usuarios finales mediante transparencia proactiva.

Para los más técnicos: a partir del 1 de enero de 2027, el umbral a partir del cual una vulnerabilidad será divulgada públicamente se reducirá a una puntuación CVSS ≥ 6.5. Esta medida tiene como objetivo acelerar la depuración del ecosistema, en particular en lo que respecta a las vulnerabilidades que afectan a los back-offices, los XSS de tipo 1 (XSS reflejado) y las fallas CSRF. Este cambio se ha pospuesto deliberadamente, ya que consideramos que el nivel medio de formación en seguridad sigue siendo insuficiente en el mercado y que aún existe una resistencia generalizada sobre estos temas. Confiamos en que los adherentes a esta carta contribuyan activamente a concienciar a sus equipos y a reducir estas fricciones, de modo que estas vulnerabilidades sean, con el tiempo, sistemáticamente identificadas y tratadas de forma profesional.

7. 🤝 Compromiso de Contribución Activa a la Iniciativa

Los adherentes a la carta reconocen que la credibilidad de esta iniciativa se basa en un compromiso recíproco entre TouchWeb y los desarrolladores de módulos.

En este sentido, se comprometen a apoyar activamente la difusión, la legitimidad y la adopción de la carta, mediante las siguientes acciones:

• Difundir la carta en sus soportes digitales (sitio web, documentación, módulos – PrestaShop Marketplace autoriza excepcionalmente el enlace a la carta dada su importancia).
• Promover una cultura de seguridad responsable dentro del ecosistema PrestaShop.
• Fomentar intercambios constructivos y retroalimentación que permitan mejorar colectivamente las buenas prácticas.
• Colaborar de buena fe con TouchWeb en caso de incidente, auditoría o solicitud relacionada con una vulnerabilidad en su código.

Toda difusión considerada ineficaz o meramente simbólica - incluyendo, en particular, el uso del atributo "nofollow" - podrá conllevar la invalidación de la adhesión a la carta, al considerarse contraria al espíritu de colaboración sincera y ayuda mutua esperada de los adherentes.

Esta dinámica de compromiso mutuo tiene como objetivo reforzar la profesionalización del ecosistema, en beneficio común de los desarrolladores, agencias, comerciantes e investigadores en seguridad.

El objetivo final de esta carta es sensibilizar a los comerciantes, desde las primeras etapas de sus proyectos, sobre la importancia de elegir desarrolladores que apliquen políticas de seguridad rigurosas - adaptadas a un mundo en constante evolución y a los retos que representa la inteligencia artificial en materia de ciberseguridad.

---

🧾 ¿Cómo convertirse en adherente?

La adhesión a la carta es completamente libre y gratuita. No se requiere ningún formulario, firma ni registro previo.

Requisito previo: debes ser un desarrollador de módulos PrestaShop.

Para convertirse en adherente, simplemente debe:

• 🛡️ Publicar una página de seguridad pública en su sitio web, conforme a los compromisos descritos en la carta
• 🔗 Incluir en esta página un enlace a la carta oficial de TouchWeb, para permitir la verificación del compromiso y ayudar a dar a conocer la iniciativa.
• 📧 Informarnos sobre esta página (por correo electrónico o mediante el formulario de contacto a continuación)

Una vez verificada su página, será añadido a la lista de desarrolladores comprometidos.

No se requiere validación contractual: la publicación de la página equivale a un compromiso. La transparencia es lo que da valor.

Puede encontrar un ejemplo aquí: Ejemplo de una página de seguridad

---

🛠️ ¿Qué ofrece TouchWeb?

Como adherente, no estás solo. TouchWeb te apoya para hacer este enfoque posible y beneficioso:

✅ Asistencia con puntuación CVSS

TouchWeb te ayuda a definir una puntuación CVSS objetiva basada en criterios estandarizados: vector de acceso, complejidad, privilegios, impacto, etc.

✅ Soporte para publicar CVE

TouchWeb te acompaña paso a paso en la redacción de una nota de seguridad y en la solicitud de un identificador CVE, garantizando una divulgación responsable y útil para la comunidad.

✅ Visibilidad positiva

Los adherentes de la carta podrán:

• Mostrar una insignia de "Ciberseguridad Responsable" en sus módulos
• Ser listados en esta página como compromiso hacia comerciantes e integradores
• Obtener visibilidad a través de nuestra red de socios y clientes

©️ Uso del distintivo «Ciberseguridad Responsable»

El uso del distintivo «Ciberseguridad Responsable» (imagen arriba) está estrictamente regulado. Este distintivo representa un compromiso ético con la seguridad de los módulos PrestaShop y con la transparencia en las prácticas de desarrollo.

Cualquier uso de este distintivo en una página web debe incluir un enlace clicable directamente sobre la imagen, que lleve a la página oficial de la Carta de Ciberseguridad Responsable.

Este enlace permite a las agencias y comerciantes verificar la legitimidad del compromiso del desarrollador y consultar los principios detallados a los que se adhiere. La ausencia de este enlace constituye una violación de las condiciones de uso del distintivo y puede conllevar la retirada de la autorización de uso.

Este distintivo está exclusivamente reservado a los desarrolladores que hayan firmado oficialmente la carta y estén listados en la página de referencia.

📣 Contribución a la Evangelización de la Ciberseguridad

Confiamos en que los adherentes promuevan activamente esta iniciativa.

• Dar a conocer el distintivo: Al mostrar el distintivo en sus materiales de comunicación (fichas de producto, documentación, sitios web, etc.), los firmantes ayudan a concienciar a los comerciantes, integradores y proveedores sobre la importancia de la ciberseguridad.
• Contribuir a un ecosistema más seguro: Esta acción colectiva tiene como objetivo mejorar los estándares de calidad y seguridad del ecosistema PrestaShop, fortaleciendo la confianza de los usuarios y destacando a los actores comprometidos.
• Convertirse en embajador de la ciberseguridad: Cada firmante se convierte así en un actor clave en la profesionalización y la protección de PrestaShop, en beneficio de toda la comunidad.

---

🤝 Editores comprometidos

Los siguientes editores han adherido oficialmente a la carta de TouchWeb para una ciberseguridad responsable:

---

⏳ Editores en proceso de adhesión