Back to Security
Divulgación Responsable

Divulgación de Vulnerabilidades de Seguridad

Apreciamos a los investigadores de seguridad que ayudan a mantener diffray seguro. Esta política describe cómo reportar vulnerabilidades y qué esperar.

Alcance

Dominios diffray.ai y app.diffray.ai
App de GitHub diffray
Endpoints de API

Reglas de Participación

No divulgar públicamente vulnerabilidades antes de que sean corregidas
No acceder ni modificar datos pertenecientes a otros usuarios
No realizar ataques de denegación de servicio
No usar herramientas de escaneo automatizado que generen tráfico excesivo
Actuar de buena fe para evitar violaciones de privacidad e interrupción del servicio

Proceso de Divulgación

1.

Enviar Reporte

Envía tus hallazgos a security@diffray.ai

2.

Confirmación

Confirmaremos recepción dentro de 48 horas

3.

Evaluación Inicial

Proporcionaremos una evaluación inicial dentro de 5 días hábiles

4.

Corregir Problemas Críticos

Vulnerabilidades críticas abordadas dentro de 30 días

5.

Divulgación Pública

Cronograma de divulgación coordinado acordado juntos

Qué Incluir en tu Reporte

  • Descripción detallada de la vulnerabilidad
  • Instrucciones paso a paso para reproducir
  • Evaluación del impacto potencial
  • Remediación sugerida (opcional)
  • Tu información de contacto para seguimiento

Fuera de Alcance

  • Ataques de ingeniería social contra empleados
  • Problemas de seguridad física
  • Servicios de terceros (AWS, GitHub, Anthropic)
  • Problemas de rate limiting sin impacto demostrado
  • Headers de seguridad faltantes sin explotabilidad comprobada
  • Vulnerabilidades en navegadores o plugins obsoletos
  • Reportes de herramientas de escaneo automatizado sin impacto verificado

Reconocimiento

Apreciamos a los investigadores de seguridad que ayudan a mantener diffray seguro. Con tu permiso, reconoceremos tu contribución en esta página.

Salón de la Fama de Seguridad

¡Sé el primero en ayudar a asegurar diffray!

Reportar una Vulnerabilidad

Si has descubierto un problema de seguridad, por favor repórtalo de manera responsable.

security@diffray.ai

Clave PGP disponible bajo solicitud