Chispa Centro de confianza Divulgación responsable Política de divulgación responsable de vulnerabilidades
Divulgación responsable

Política de divulgación responsable de vulnerabilidades

Versión 1.0 2026-04-24 Estado: publicable

Política de divulgación responsable — Chispa

Nuestro compromiso con quien reporta

Agradecemos la colaboración de la comunidad de investigación en seguridad. Si encuentras una vulnerabilidad en Chispa, sigue esta política y obtendrás:

  1. Acuse de recibo en <72h laborables.
  2. Respuesta técnica inicial en <7 días naturales (confirmación o petición de más información).
  3. Tiempo razonable para parchear antes de divulgación pública: 90 días por defecto, ampliable si la complejidad lo requiere.
  4. Reconocimiento público en /trust#hall-of-fame si lo aceptas (opt-in).
  5. No tomaremos acciones legales contra investigadores que cumplan esta política de buena fe (safe harbor).

Canal de contacto

  • Email: [email protected] (preferido — PGP key disponible bajo petición).
  • Email alternativo: [email protected].
  • Formato del reporte: ver plantilla más abajo.
  • Idiomas aceptados: español, catalán, inglés.

Alcance (in-scope)

  • Aplicación web Chispa: https://chispaclips.com y subdominios operativos.
  • API de la aplicación.
  • Aplicación web de colaboradores.
  • Subsistema de autenticación y conexión de canales.
  • Manejo de datos personales conforme RGPD.

Fuera de alcance (out-of-scope)

  • Servicios de terceros (Google, YouTube, TikTok, Cloudflare) — reportar directamente al proveedor.
  • Ataques de DoS/DDoS volumétricos.
  • Ingeniería social dirigida a nuestro personal.
  • Bugs solo explotables con acceso físico al dispositivo del usuario.
  • Resultados teóricos sin Proof-of-Concept.

Lo que NO consideramos vulnerabilidades

  • Missing cookie flags sin vector de explotación.
  • SPF/DKIM/DMARC del dominio.
  • Clickjacking en páginas sin estado autenticado.

Reglas de juego (safe harbor)

Permitido siempre que tu actividad sea de buena fe y se mantenga dentro de lo razonable:

  • Probar vulnerabilidades contra tu propia cuenta o con el consentimiento explícito del titular.
  • Observar tráfico propio.
  • Reportes técnicos con PoC.

NO permitido:

  • Acceder a, modificar o destruir datos ajenos.
  • Interferir con el servicio de producción (fuerza bruta masiva, payloads destructivos).
  • Extraer datos personales más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
  • Divulgación pública antes del plazo acordado.
  • Solicitar dinero a cambio de no divulgar (esto convertiría el contacto en extorsión).

Plantilla de reporte

Título: [breve descripción]
Severidad estimada (CVSS v3.1 o tu estimación): [baja/media/alta/crítica]
Componente afectado: [URL o área de la aplicación]

Descripción:
[qué has encontrado]

Pasos para reproducir:
1.
2.
3.

Prueba de concepto (PoC):
[código, request, screenshot]

Impacto:
[qué podría hacer un atacante]

Mitigación sugerida:
[opcional]

Quiero aparecer en hall-of-fame: [sí / no / anónimo]
Nombre público (si sí): [nombre o alias]

Nuestro compromiso de transparencia

  • Post-mortem público para incidentes de severidad alta o crítica que resulten en exposición real de datos.
  • Entrada en /trust#changelog-security con fecha de reporte, fecha de parche y agradecimiento (si opt-in).
  • Cumplimiento de la obligación RGPD Art. 33-34 de notificación a la AEPD (<72h) y a los afectados cuando corresponda.

Revisión

Esta política se revisa anualmente o tras incidente significativo. Versión actual: 1.0 (2026-04-24).

Contacto: [email protected] Archivo machine-readable: /.well-known/security.txt (RFC 9116)

¿Detectaste un error o quieres proponer una mejora? Escríbenos a [email protected] o reporta vía security.txt.