Política de Divulgación de Vulnerabilidades

Última Actualización: 2024-12-19

1. Propósito de la Política

En Whispie, estamos comprometidos a mantener el más alto nivel de seguridad para nuestros usuarios. Esta política proporciona orientación a los investigadores de seguridad para divulgar de manera responsable las vulnerabilidades encontradas en los sistemas de Whispie e integraciones de terceros (Stripe, Supabase, Facebook, Google Analytics, Twilio, etc.).

Creemos que trabajar con investigadores de seguridad de todo el mundo es fundamental para mantener la seguridad de nuestros usuarios. Le animamos a ponerse en contacto con nosotros para informar de cualquier vulnerabilidad potencial que descubra.

2. Alcance

✅ Sistemas dentro del Alcance

  • whispieapp.com y todos los subdominios
  • Aplicaciones móviles de Whispie (iOS y Android)
  • Todos los endpoints y servicios API
  • Integraciones y servicios de terceros:
    • Sistemas de pago de Stripe
    • Base de datos y autenticación de Supabase
    • Verificación por SMS de Twilio
    • Integraciones publicitarias de Facebook/Meta
    • Implementación de Google Analytics
    • Servicios de seguridad de Cloudflare

❌ Fuera del Alcance

  • Evaluaciones de seguridad física
  • Ataques de ingeniería social
  • Ataques DDoS o pruebas volumétricas
  • Ataques contra empleados o infraestructura de Whispie
  • Servicios de terceros no integrados directamente con Whispie
  • Vulnerabilidades teóricas sin prueba de concepto
  • Encabezados de seguridad faltantes sin impacto demostrado

3. Reglas de Divulgación Responsable

✅ Qué Hacer

  • Notifíquenos inmediatamente después de descubrir una vulnerabilidad potencial
  • Utilice la cantidad mínima de datos sensibles necesaria para demostrar la vulnerabilidad
  • Proporcione documentación detallada de sus hallazgos
  • Mantenga la comunicación sobre la vulnerabilidad de forma confidencial
  • Permítanos un tiempo razonable para abordar la vulnerabilidad
  • Pruebe con sus propias cuentas o datos de prueba siempre que sea posible

❌ Qué No Hacer

  • Eliminar, modificar o robar datos
  • Realizar pruebas que puedan causar interrupciones del servicio
  • Vulnerar la privacidad de otros usuarios
  • Usar ingeniería social contra empleados o usuarios
  • Realizar ataques físicos contra nuestra infraestructura
  • Divulgar vulnerabilidades públicamente antes de que hayamos tenido tiempo de abordarlas
  • Exigir pago o compensación por informes de vulnerabilidades

4. Reglas Especiales para Integraciones de Terceros

🔵 Integración con Facebook (Meta)

  • Evite abusar de las APIs de Facebook o superar los límites de velocidad
  • No intente acceder a datos de usuarios sin autorización
  • Siga las políticas de seguridad y el programa de recompensas por errores de Facebook
  • Informe las vulnerabilidades específicas de Facebook a su equipo de seguridad cuando corresponda

🟢 Integración con Google Analytics

  • Tenga precaución al probar los mecanismos de recopilación de datos analíticos
  • Evite usar datos de usuarios reales en las pruebas
  • Cumpla con los Términos de Servicio de Google
  • Concéntrese en la implementación de Whispie, no en la infraestructura de Google

🟣 Integración con Stripe

  • No pruebe con transacciones de pago en vivo
  • Use únicamente tarjetas de prueba y entornos de sandbox
  • Siga las políticas de seguridad y las pautas de divulgación de Stripe
  • Informe las vulnerabilidades específicas de Stripe a su equipo de seguridad

🟠 Integración con Supabase

  • Pruebe la seguridad de la base de datos sin acceder a datos reales de usuarios
  • Use cuentas y bases de datos de prueba cuando sea posible
  • Siga las pautas de seguridad de Supabase
  • Concéntrese en la implementación de los servicios de Supabase por parte de Whispie

5. Proceso de Divulgación

1
Informe Inicial
Envíe sus hallazgos a [email protected] con información detallada que incluya:
  • Descripción de la vulnerabilidad
  • Pasos para reproducirla
  • Impacto potencial
  • Correcciones sugeridas (si las hay)
2
Verificación
Nuestro equipo de seguridad acusará recibo en un plazo de 24-48 horas y verificará la vulnerabilidad en un plazo de 3 días hábiles.
3
Remediación
Desarrollaremos una corrección para la vulnerabilidad en función de su gravedad y complejidad.
4
Notificación
Le mantendremos informado sobre nuestro progreso y le notificaremos cuando se resuelva la vulnerabilidad.
5
Divulgación Pública
Una vez implementada la corrección, podemos reconocer públicamente su contribución (con su permiso).

6. Plazos de Respuesta

  • Respuesta Inicial: 24-48 horas
  • Verificación de Vulnerabilidad: 3 días hábiles
  • Desarrollo de Remediación: Variable según gravedad y complejidad
  • Divulgación Pública: 30 días después de la remediación

Nota: Las vulnerabilidades complejas pueden requerir tiempo adicional para una remediación adecuada.

7. Información de Contacto

Correo de Seguridad: [email protected]

Clave PGP: Descargar Aquí

Contacto de Emergencia: +1-XXX-XXX-XXXX (Solo para incidentes de seguridad críticos)

Cifrado: Le animamos a cifrar sus informes usando nuestra clave PGP para información sensible.

8. Protecciones Legales

No iniciaremos acciones legales en su contra por realizar investigaciones de seguridad de conformidad con esta política. Consideramos las actividades realizadas de acuerdo con esta política como conducta "autorizada" bajo la Ley de Fraude y Abuso Informático.

Sin embargo, si sus acciones incluyen actividades no autorizadas por esta política, nos reservamos el derecho de tomar todas las medidas apropiadas, incluidas acciones legales.

9. Programa de Reconocimiento

Si bien actualmente no operamos un programa formal de recompensas por errores, creemos en reconocer las valiosas contribuciones de los investigadores de seguridad. Con su permiso, podemos:

  • Añadir su nombre a nuestro Salón de la Fama de Seguridad
  • Reconocer públicamente su contribución
  • Proporcionar una carta de reconocimiento para su portafolio profesional

Estamos evaluando continuamente nuestros programas de reconocimiento de seguridad y podemos introducir recompensas monetarias en el futuro.

10. Actualizaciones de la Política

Podemos actualizar esta política de vez en cuando. La fecha de "Última Actualización" en la parte superior de esta página indica cuándo se realizaron los cambios más recientes. Le animamos a revisar esta política periódicamente.