Política de divulgación responsable

Nos tomamos la seguridad muy en serio y valoramos la ayuda de la comunidad para mejorar la protección de nuestros sistemas.

Nuestro compromiso

La seguridad de nuestros sistemas y la protección de los datos de nuestros clientes son prioridades absolutas. Animamos a los investigadores de seguridad a notificarnos de forma responsable cualquier vulnerabilidad que puedan descubrir.

Alcance

Esta política cubre nuestro sitio web, nuestras aplicaciones, servicios en línea y las API accesibles públicamente.

Lo que te pedimos

Si descubres una vulnerabilidad, por favor:

• Contacta con nosotros de inmediato a través de los datos indicados en nuestro archivo security.txt
• No divulgues la vulnerabilidad públicamente antes de que hayamos tenido tiempo de corregirla
• No explotes la vulnerabilidad más allá de lo necesario para demostrarla
• No accedas, modifiques ni elimines datos de otros usuarios
• No interfieras con nuestros servicios o infraestructura

Nuestro compromiso contigo

• Acusaremos recibo de tu notificación en un plazo de 3 días laborables
• Te mantendremos informado sobre el progreso de la corrección
• No emprenderemos ninguna acción legal contra investigadores que actúen de buena fe y respeten esta política
• Te acreditaremos (si así lo deseas) en la comunicación sobre la corrección

Vulnerabilidades fuera de alcance

Los siguientes elementos no están cubiertos por esta política:

• Ataques de denegación de servicio (DoS/DDoS)
• Ingeniería social o phishing dirigidos a nuestros empleados
• Ataques físicos contra nuestras instalaciones o equipos
• Vulnerabilidades en servicios de terceros que utilizamos

Contacto

Los datos para informar sobre una vulnerabilidad están disponibles en nuestro archivo security.txt.

Gracias por proporcionar el mayor número de detalles posible: descripción de la vulnerabilidad, pasos para reproducirla, impacto potencial y sugerencias de corrección.