Seguridad
Política de divulgación de vulnerabilidades
En CardWho nos importa la seguridad de nuestros usuarios, la protección de los datos personales y la fiabilidad de nuestra plataforma. Si crees haber descubierto una vulnerabilidad de seguridad en nuestro sitio web, aplicaciones móviles, servicios de API, paneles de administración o cualquier otro activo digital operado por CardWho, te pedimos que nos lo comuniques de manera responsable y segura.
Esta política explica cómo enviar un informe de vulnerabilidad, qué sistemas entran dentro del alcance, qué pruebas no se aceptan y qué puedes esperar de nosotros durante el proceso.
Cómo informar de una vulnerabilidad
Si crees haber identificado una vulnerabilidad de seguridad, envíanos tu informe a la siguiente dirección:
Compartir tu informe de la forma más clara, técnica y reproducible posible nos ayuda a evaluar el problema con mayor rapidez.
Incluye, en la medida de lo posible, la siguiente información en tu informe:
- La página web, pantalla de la app, operación de API o componente del sistema afectado
- Los pasos para reproducir el problema
- La diferencia entre el comportamiento esperado y el observado
- El posible impacto de la vulnerabilidad
- Dispositivo, sistema operativo, navegador o versión de la app utilizada
- Capturas de pantalla, vídeos cortos, registros o prueba de concepto, si los tienes
- Una explicación de cómo verificar la vulnerabilidad sin abusar de ella
Por favor, no incluyas datos reales de usuarios, datos personales innecesarios, información de cuentas de terceros ni contenido sensible. Si una cantidad mínima de información es suficiente para verificar una vulnerabilidad, evita recopilar o transmitir más.
Activos dentro del alcance
Esta política cubre los activos digitales operados y controlados directamente por CardWho.
Los activos dentro del alcance suelen incluir:
- Los sitios web oficiales de CardWho
- Los subdominios oficiales operados por CardWho
- Las aplicaciones móviles oficiales de CardWho para iOS y Android
- Los servicios de API de CardWho
- Los paneles de administración de CardWho
- Otras aplicaciones, servicios y componentes oficiales operados por CardWho
El alcance se limita a los sistemas que CardWho controla directamente. Los sistemas operados por terceros solo se consideran cuando una vulnerabilidad surge de una configuración o integración por parte de CardWho y afecta directamente a sus usuarios.
Activos y servicios fuera del alcance
Los siguientes sistemas y servicios están fuera del alcance directo de esta política:
- Apple App Store
- Google Play
- Cloudflare
- OVH
- Proveedores de infraestructura de pagos
- Proveedores de servicios de correo electrónico
- Herramientas de analítica, notificaciones, seguimiento de errores o marketing
- Sitios web, APIs, aplicaciones y servicios de terceros no operados por CardWho
Las vulnerabilidades detectadas en estos servicios de terceros deben comunicarse a través de los canales de divulgación propios de cada proveedor.
No obstante, si detectas un riesgo de seguridad que surge de la configuración por parte de CardWho de una integración con un tercero y que afecta directamente a usuarios de CardWho, puedes comunicárnoslo.
Tipos de vulnerabilidades aceptadas
Los siguientes tipos de vulnerabilidades pueden considerarse dentro del alcance:
- Acceso no autorizado
- Fallos de autenticación o gestión de sesión
- Vulnerabilidades de escalada de privilegios
- Acceso a datos entre usuarios
- Exposición no autorizada de datos sensibles
- Vulnerabilidades de seguridad en la API
- Vulnerabilidades de seguridad en el servidor
- Vulnerabilidades de seguridad en aplicaciones móviles
- Fallos en la lógica de negocio
- Configuraciones erróneas con un impacto de seguridad claramente demostrable
- Vulnerabilidades con impacto de seguridad en flujos de pago, suscripción o cuenta
- Problemas que afectan a la privacidad del usuario o a la integridad de los datos
Para que un hallazgo entre dentro del alcance, debe tener un impacto de seguridad realista y explicable.
Hallazgos fuera del alcance
Los siguientes informes se consideran, por lo general, fuera del alcance:
- Resultados de escáneres automáticos sin impacto de seguridad demostrable
- Falta de cabeceras HTTP de carácter meramente informativo
- Divulgación de versiones sin impacto de seguridad demostrado
- Problemas teóricos sin impacto demostrable
- Hallazgos de Self-XSS con impacto limitado que requieren interacción del usuario
- Escenarios que requieren un dispositivo, navegador, sistema operativo o cuenta de usuario ya comprometidos
- Ingeniería social
- Intentos de phishing
- Pruebas de seguridad física
- Pruebas dirigidas a personal, usuarios, socios comerciales o proveedores
- Ataques de denegación de servicio
- Pruebas que generan mucho tráfico
- Ataques de fuerza bruta, credential stuffing o adivinación de contraseñas
- Spam, correos masivos, envíos masivos de formularios o intentos automatizados de registro
- Descarga, modificación, eliminación o divulgación de datos reales de usuarios
- Vulnerabilidades en la infraestructura propia de proveedores de terceros
- Dominios, aplicaciones o sistemas no operados por CardWho
- Problemas que solo afectan al dispositivo o entorno local del usuario
- Recomendaciones de buenas prácticas sin impacto de seguridad claramente demostrado
CardWho se reserva el derecho de descartar informes sin impacto de seguridad, no verificables o fuera del alcance.
Reglas durante la investigación de seguridad
Durante la investigación de seguridad esperamos que sigas las siguientes reglas:
- Realiza pruebas solo sobre sistemas dentro del alcance.
- Lleva a cabo tus pruebas con el mínimo impacto.
- No intentes acceder, descargar, modificar o eliminar datos reales de usuarios.
- Realiza el mínimo número de pruebas necesario para verificar una vulnerabilidad.
- Evita pruebas que puedan interrumpir el funcionamiento de los sistemas.
- No realices acciones que puedan causar caídas, pérdidas de rendimiento o pérdida de datos.
- No intentes acceder a cuentas, datos o dispositivos de otros usuarios.
- No utilices ingeniería social, phishing, ataques físicos ni acciones dirigidas a personal.
- Concédenos un plazo razonable para evaluar y corregir antes de hacer pública la vulnerabilidad.
- No compartas la vulnerabilidad con terceros.
- Utiliza la información obtenida únicamente para informar de la vulnerabilidad.
Las conductas que infrinjan estas reglas no se consideran investigación de seguridad de buena fe en el marco de esta política.
Nuestro proceso de respuesta
Al recibir un informe de seguridad válido, intentamos revisarlo lo antes posible.
Nuestros tiempos objetivo de respuesta son los siguientes:
| Fase | Tiempo objetivo |
|---|---|
| Confirmación de recepción del informe | En un plazo de 2 días hábiles |
| Evaluación técnica inicial | En un plazo de 7 días naturales |
| Evaluación de prioridad e impacto | En un plazo de 10 días naturales |
| Corrección o mitigación para hallazgos críticos | Objetivo: 14 días |
| Corrección o mitigación para hallazgos de alta prioridad | Objetivo: 30 días |
| Hallazgos de prioridad media y baja | Planificados según riesgo, impacto y alcance técnico |
Estos tiempos son objetivos. Pueden variar en función de la complejidad de la vulnerabilidad, dependencias de terceros, procesos de aprobación de plataforma, revisiones de las tiendas de aplicaciones móviles o requisitos técnicos.
Cuando sea necesario, podemos pedirte información adicional. La evaluación de tu informe depende de la suficiencia de la información facilitada y de la verificabilidad del impacto de seguridad.
Priorización
Al evaluar vulnerabilidades tenemos en cuenta los siguientes criterios:
- Impacto en los datos de los usuarios
- Probabilidad de acceso no autorizado
- Número de usuarios o sistemas afectados
- Explotabilidad de la vulnerabilidad
- Si la vulnerabilidad puede explotarse de forma remota
- Impacto en la continuidad del negocio y la fiabilidad del servicio
- Impacto en la seguridad de pagos, suscripciones o cuentas
- Controles de mitigación existentes
CardWho determina la prioridad y el nivel de gravedad de una vulnerabilidad reportada en función de su propia evaluación técnica y operativa.
Divulgación pública
La divulgación pública de vulnerabilidades comunicadas solo debe realizarse con acuerdo previo por escrito de CardWho.
Por favor, no compartas una vulnerabilidad de forma pública antes de que se haya producido lo siguiente:
- El informe nos haya llegado
- La vulnerabilidad se haya evaluado técnicamente
- Se haya aplicado la corrección o mitigación necesaria
- Se haya acordado el momento y el contenido de la divulgación
Cuando sea apropiado y a petición tuya, podemos reconocer públicamente tu contribución. En algunos casos, no obstante, no se realiza divulgación pública por razones de seguridad del usuario, privacidad de datos, investigaciones en curso o riesgo de abuso.
Informes de buena fe
Valoramos positivamente la investigación realizada de buena fe, que se mantiene dentro del alcance, no daña los datos de los usuarios, no interrumpe la continuidad del servicio y comunica la vulnerabilidad de manera responsable, en el marco de esta política.
Investigación de seguridad de buena fe significa:
- Las pruebas se limitan a los sistemas dentro del alcance
- No se accede a datos de usuarios sin autorización
- Si se accede, los datos no se visualizan, copian, almacenan ni comparten
- No se provoca interrupción del servicio
- La vulnerabilidad no se abusa
- La vulnerabilidad no se comparte con terceros
- Se concede a CardWho un plazo razonable de evaluación y corrección
Esta política no autoriza actividades maliciosas, brechas de datos, interrupciones de servicio, daños a terceros ni pruebas en sistemas fuera del alcance.
CardWho se reserva el derecho de evaluar cada informe en función de sus circunstancias y de mantener sus derechos legales cuando sea necesario.
Privacidad y protección de datos
Los datos personales que compartas con nosotros en el marco de un informe de vulnerabilidad se tratan únicamente para evaluar tu informe, comunicarnos contigo, verificar y corregir la vulnerabilidad y mantener los registros necesarios.
Por favor, evita incluir en tu informe datos personales de terceros. Si durante la verificación de una vulnerabilidad detectas que has accedido a datos personales, interrumpe el acceso inmediatamente y déjalo claro en tu informe.
CardWho puede utilizar la información obtenida durante el proceso de comunicación de seguridad para garantizar la seguridad del usuario, proteger sus sistemas y cumplir con sus obligaciones legales.
Contacto
Para vulnerabilidades e informes relacionados con la seguridad, puedes contactarnos en:
Para soporte general, colaboraciones o solicitudes de usuario que queden fuera del ámbito de la seguridad, utiliza el formulario de contacto oficial de CardWho.