Reporte de Vulnerabilidades

Política de Divulgación Responsable

La seguridad es prioridad. Valoramos las contribuciones de la comunidad y creemos que la divulgación responsable es crucial.

Alcance

Aplica a vulnerabilidades en sistemas propiedad de Altostrat:

  • Plataforma Altostrat SDX (*.altostrat.io)
  • Sitio web principal (altostrat.com)
  • APIs públicas documentadas
  • Productos marca Altostrat
  • responsibleDisclosure.scope.item5

Servicios de terceros están excluidos.

Cómo Reportar

Si descubre una vulnerabilidad, escriba a nuestro equipo de seguridad:

security@altostrat.io

Use comunicación cifrada (PGP) para detalles sensibles. Acusamos recibo en 2 días hábiles.

Qué Incluir

Para investigar eficientemente, provea:

  • Descripción clara de vulnerabilidad e impacto.
  • Pasos detallados para reproducir.
  • PoC, scripts o capturas de pantalla.
  • Producto/versión afectada.
  • Información de contacto.
  • responsibleDisclosure.include.item6

Actividades Prohibidas

Fomentamos la investigación, pero usted no debe engage in the following activities:

  • Causar Denegación de Servicio (DoS/DDoS).
  • Acceder o modificar datos ajenos.
  • Violar privacidad de usuarios o empleados.
  • Realizar ingeniería social (phishing).
  • Intentos físicos contra propiedad de Altostrat.
  • Usar escáneres de alto volumen.
  • Pruebas destructivas.
  • Divulgar públicamente antes de remediación.

Actividades prohibidas pueden descalificar su reporte.

Nuestro Compromiso

Si reporta de buena fe, nos comprometemos a:

  • Acusar recibo puntualmente (meta: 2 días).
  • Investigar oportunamente.
  • Remediar vulnerabilidades confirmadas.
  • Mantener comunicación abierta.
  • Reconocimiento público si lo desea (sin recompensa monetaria).

Safe Harbor

Altostrat no iniciará acciones legales contra quienes reporten bajo esta política. Consideramos esta investigación conducta autorizada. Debe cumplir leyes aplicables.

Fuera de Alcance

Generalmente fuera de alcance a menos que haya impacto significativo:

  • Clickjacking en páginas no sensibles.
  • Falta de mejores prácticas sin vulnerabilidad directa.
  • Self-XSS y problemas de navegadores obsoletos.
  • Content spoofing / inyección de texto.
  • Librerías vulnerables sin PoC funcional.
  • Configuración TLS/SSL débil.
  • Archivos públicos conocidos (robots.txt).
  • Hallazgos de escáner no verificados.
  • Logout CSRF.
  • Atributos autocomplete.
  • Rate limiting sin impacto claro.
  • Flags de cookies no sensibles.
  • Temas de email (SPF/DKIM) en dominios sin envío.

Decisiones de alcance a discreción del equipo de seguridad.

Gracias por ayudar a mantener Altostrat seguro.