Efficlose

Política de divulgación de vulnerabilidades

Política de divulgación de vulnerabilidades de Efficlose. Aprende cómo reportar de forma responsable las vulnerabilidades de seguridad.

Última actualización: 21 de diciembre de 2025

Introducción

Efficlose se esfuerza por ayudar a nuestros partners y clientes a minimizar el riesgo asociado a las vulnerabilidades de seguridad en nuestros productos. Estamos comprometidos con las mejores prácticas del sector en seguridad y gestión de vulnerabilidades, y nuestro objetivo es ofrecer a los clientes información, orientación y opciones de mitigación puntuales.

Gestión de informes de vulnerabilidades

Valoramos la aportación de partners del sector e investigadores de seguridad, y agradecemos todas las contribuciones a nuestras iniciativas de seguridad. Nuestro objetivo es que los remedios y/o estrategias de mitigación estén disponibles en el momento de la divulgación de vulnerabilidades específicas de Efficlose, y trabajar con proveedores terceros cuando la corrección requiera su colaboración.

Si crees que has descubierto una vulnerabilidad, un problema de privacidad, datos expuestos u otros problemas de seguridad en cualquiera de nuestros activos, queremos saberlo. Esta política describe los pasos para reportar vulnerabilidades, qué esperamos y qué puedes esperar de nosotros.

Según esta política, toda la información divulgada sobre nuevas vulnerabilidades se considera confidencial y solo se compartirá entre Efficlose y la parte que reporta si la información no es ya de dominio público hasta que exista un remedio y se coordinen las actividades de divulgación.

Sistemas en alcance

Esta política se aplica a cualquier activo propiedad de, operado o mantenido por Efficlose, incluidos:

  • El sitio web y las aplicaciones web de Efficlose
  • Las aplicaciones móviles de Efficlose
  • Las API y servicios backend de Efficlose
  • Cualquier otro activo digital bajo el dominio efficlose.com

Fuera de alcance

Se considera fuera del alcance de esta política:

  • Activos o equipos no propiedad de Efficlose
  • Servicios de terceros integrados con Efficlose (deben reportarse al proveedor correspondiente)
  • Ataques de ingeniería social contra empleados o contratistas de Efficlose
  • Vulnerabilidades de seguridad física
  • Ataques de denegación de servicio (DoS)

Las vulnerabilidades descubiertas o sospechadas en sistemas fuera de alcance deben reportarse al proveedor correspondiente o a la autoridad aplicable.

Nuestros compromisos

Al trabajar con nosotros según esta política, puedes esperar que:

  • Respondamos con prontitud: Reconoceremos tu informe en un plazo de 3 días laborables y trabajaremos contigo para entender y validar tu informe.
  • Te mantengamos informado: Nos esforzaremos por informarte sobre el progreso de una vulnerabilidad mientras se procesa.
  • Corrijamos con prontitud: Trabajaremos para corregir las vulnerabilidades descubiertas con prontitud, dentro de nuestras limitaciones operativas.
  • Ofrezcamos Safe Harbor: Ofrecemos protección Safe Harbor para tu investigación de vulnerabilidades relacionada con esta política.
  • Reconozcamos a los investigadores: Con tu permiso, reconoceremos tu contribución en nuestros avisos de seguridad.

Nuestras expectativas

Al participar de buena fe en nuestro programa de divulgación de vulnerabilidades, te pedimos que:

  • Sigas las reglas: Juega limpio, incluyendo el cumplimiento de esta política y otros acuerdos aplicables. En caso de inconsistencia entre esta política y cualquier otro término aplicable, prevalecerán los términos de esta política.
  • Reportes con prontitud: Reporta cualquier vulnerabilidad que hayas descubierto con prontitud.
  • Respetes la privacidad: Evita violar la privacidad de otros, alterar nuestros sistemas, destruir datos o perjudicar la experiencia del usuario.
  • Uses los canales oficiales: Usa solo los canales oficiales para discutir información sobre vulnerabilidades con nosotros.
  • Des un tiempo razonable: Danos un tiempo razonable (mínimo 90 días desde el informe inicial) para resolver el problema antes de divulgarlo públicamente.
  • Te mantengas en el alcance: Realiza pruebas solo en sistemas dentro del alcance y respeta los sistemas y actividades fuera de alcance.
  • Limites el acceso a datos: Si una vulnerabilidad permite acceso no previsto a datos, limita la cantidad de datos a los que accedes al mínimo necesario para demostrar efectivamente una prueba de concepto. Además, deja de probar y envía un informe de inmediato si encuentras datos de usuario durante las pruebas, como información de identificación personal (PII), información sanitaria personal (PHI), datos de tarjetas de crédito o información propietaria.
  • Uses cuentas de prueba: Solo debes interactuar con cuentas de prueba propias o con permiso explícito del titular de la cuenta.
  • Mantengas la confidencialidad: No divulgues los detalles de la vulnerabilidad hasta que Efficlose confirme la corrección.
  • No almacenes datos: No almacenes ningún dato descubierto durante el proceso de pruebas.
  • Sin extorsión: No te involucres en extorsión.

Canales oficiales

Por favor, reporta problemas de seguridad en [email protected], aportando toda la información relevante. Cuantos más detalles proporciones, más rápido podremos clasificar y abordar el problema.

Al enviar un informe, incluye:

  • Descripción de la vulnerabilidad
  • Pasos para reproducir el problema
  • Impacto potencial de la vulnerabilidad
  • Cualquier código de prueba de concepto o capturas de pantalla
  • Tu información de contacto para preguntas de seguimiento

Safe Harbor

Al realizar investigación de vulnerabilidades bajo esta política, consideramos que esta investigación está:

  • Autorizada respecto a leyes anti-intrusión: No iniciaremos ni apoyaremos acciones legales contra ti por violaciones accidentales y de buena fe de esta política.
  • Autorizada respecto a leyes anti-elusión: No presentaremos reclamaciones contra ti por elusión de controles tecnológicos.
  • Exenta de restricciones de los Términos de Servicio: Renunciamos a las restricciones de nuestros Términos de Servicio (TOS) y/o Política de Uso Aceptable (AUP) que interfieran con la realización de investigación de seguridad de forma limitada.
  • Legal y de buena fe: Tu investigación se considera legal, útil para la seguridad general de Internet y realizada de buena fe.

Se espera que cumplas con todas las leyes aplicables en tu investigación, pruebas e informes. Si un tercero inicia acciones legales contra ti y has cumplido esta política, tomaremos medidas para hacer constar que tus acciones se realizaron conforme a esta política.

Si tienes dudas o no estás seguro de si tu investigación de seguridad es coherente con esta política en cualquier momento, envía un informe a [email protected].

Ten en cuenta que el Safe Harbor se aplica solo a reclamaciones legales bajo el control de Efficlose y que la política no obliga a terceros independientes.

Plazos de respuesta

Nos proponemos seguir estos plazos:

AcciónPlazo
Reconocimiento inicialEn un plazo de 3 días laborables
Clasificación y evaluación inicialEn un plazo de 7 días laborables
Actualización de estadoCada 14 días durante la investigación
Objetivo de resoluciónEn un plazo de 90 días para la mayoría de vulnerabilidades

Reconocimiento

Creemos en reconocer las valiosas contribuciones de los investigadores de seguridad. Con tu permiso:

  • Te reconoceremos en nuestros avisos de seguridad
  • Te incluiremos en nuestro Salón de la Fama de investigadores de seguridad (si aplica)
  • Te proporcionaremos una carta de agradecimiento a petición

Cambios en esta política

Podemos revisar esta política de vez en cuando. La versión más reciente regirá nuestro tratamiento de los informes de vulnerabilidades y estará siempre disponible en vulnerability-disclosure.

Contacto

Si tienes preguntas sobre esta Política de divulgación de vulnerabilidades, contáctanos en:

Agradecemos tu ayuda para mantener Efficlose y a nuestros usuarios seguros.