.US
Entrega en

Contenido

Política de Divulgación Responsable

En Douvery valoramos la seguridad y privacidad de nuestros usuarios. Agradecemos la colaboración de investigadores de seguridad y usuarios que nos ayudan a mantener nuestra plataforma segura mediante la divulgación responsable de vulnerabilidades.

Alcance del Programa

Las siguientes áreas están dentro del alcance de nuestro programa de divulgación responsable:

  • Plataforma Web Principal
    Aplicaciones web accesibles a través de douvery.com y sus subdominios oficiales.
  • APIs y Servicios Backend
    Endpoints de API utilizados por nuestra plataforma para procesar transacciones, autenticación y datos de usuario.
  • Aplicaciones Móviles
    Aplicaciones móviles oficiales de Douvery disponibles en tiendas oficiales.
  • Infraestructura de Pago
    Sistemas relacionados con el procesamiento seguro de pagos y transacciones.

Directrices de Investigación

Para participar en nuestro programa de divulgación responsable, solicitamos seguir estas directrices:

  • No Acceso No Autorizado
    No acceder, modificar o eliminar datos que no te pertenezcan. Utiliza únicamente tus propias cuentas de prueba.
  • Privacidad de Usuarios
    Respeta la privacidad de nuestros usuarios. No accedas, copies o reveles datos personales de otros usuarios.
  • No Interrumpir Servicios
    Evita realizar pruebas que puedan degradar o interrumpir nuestros servicios (ataques DoS, spam masivo, etc.).
  • Divulgación Responsable
    Reporta las vulnerabilidades directamente a nosotros antes de divulgarlas públicamente. Danos tiempo razonable para solucionarlas.
  • Documentación Detallada
    Proporciona información detallada sobre la vulnerabilidad incluyendo pasos para reproducirla, impacto potencial y recomendaciones de mitigación.

Fuera del Alcance

Los siguientes tipos de vulnerabilidades y comportamientos NO están cubiertos por esta política:

  • Ingeniería Social
    Ataques de phishing, vishing o cualquier forma de ingeniería social contra empleados o usuarios.
  • Ataques Físicos
    Acceso físico no autorizado a oficinas, centros de datos o equipos de Douvery.
  • Servicios de Terceros
    Vulnerabilidades en servicios o aplicaciones de terceros que no controlamos directamente.
  • Problemas de Configuración
    Configuraciones de DNS, SSL/TLS, headers de seguridad sin un impacto real demostrable.
  • Vulnerabilidades Conocidas
    Vulnerabilidades ya reportadas por otros investigadores o que estén siendo corregidas activamente.

Proceso de Reporte

Sigue estos pasos para reportar una vulnerabilidad de seguridad:

  • 1. Envía tu Reporte
    Envía un correo electrónico detallado a security@douvery.com con toda la información relevante sobre la vulnerabilidad.
  • 2. Confirmación
    Recibirás una confirmación de recepción dentro de 48 horas hábiles.
  • 3. Evaluación Inicial
    Nuestro equipo evaluará la vulnerabilidad y te responderá con una evaluación inicial en un plazo de 5 días hábiles.
  • 4. Actualización de Progreso
    Te mantendremos informado sobre el progreso de la corrección y cualquier información adicional que necesitemos.
  • 5. Resolución
    Una vez corregida la vulnerabilidad, te notificaremos y coordinaremos la divulgación pública si es apropiado.

Protección Legal (Safe Harbor)

Nos comprometemos a las siguientes garantías para investigadores que actúen de buena fe:

  • No Acciones Legales
    No iniciaremos acciones legales contra investigadores que cumplan con esta política y actúen de buena fe.
  • Colaboración con Autoridades
    No colaboraremos con autoridades para procesar a investigadores que sigan estas directrices.
  • Reconocimiento Público
    Con tu consentimiento, podemos reconocer públicamente tu contribución en nuestro Hall of Fame de seguridad.
  • Comunicación Transparente
    Mantendremos una comunicación abierta y transparente durante todo el proceso de divulgación.

Preguntas Frecuentes

¿Ofrecen recompensas monetarias por vulnerabilidades?
Actualmente no contamos con un programa de bug bounty con recompensas monetarias. Sin embargo, valoramos cada reporte y ofrecemos reconocimiento público en nuestro Hall of Fame de seguridad.
¿Cuánto tiempo debo esperar antes de divulgar públicamente?
Solicitamos esperar al menos 90 días desde el reporte inicial o hasta que la vulnerabilidad sea corregida, lo que ocurra primero. En casos excepcionales, podemos acordar un período diferente.
¿Puedo usar herramientas automatizadas de escaneo?
Sí, pero con moderación. Evita escaneos agresivos que puedan afectar el rendimiento de nuestros servicios. Notifícanos previamente si planeas realizar escaneos extensivos.
¿Qué sucede si encuentro datos sensibles expuestos?
Reporta inmediatamente sin acceder, copiar o divulgar los datos. Incluye suficiente información para que podamos verificar el problema sin revelar datos específicos de usuarios.
¿Puedo crear cuentas de prueba para investigación?
Sí, puedes crear cuentas de prueba usando tus propios datos reales. No crees cuentas con información falsa o de otras personas.

Información de Contacto

Para reportar vulnerabilidades de seguridad, contacta a nuestro equipo de seguridad:

Email de Seguridad: security@douvery.com

Clave PGP: Disponible bajo solicitud para comunicaciones cifradas