Política de Seguridad
Prácticas de seguridad y proceso de divulgación responsable de vulnerabilidades
Última actualización: 15 de enero de 2025
La seguridad de nuestros usuarios es nuestra prioridad. Esta política describe nuestras prácticas de seguridad y el proceso para reportar vulnerabilidades de forma responsable.
1. Medidas de Seguridad Implementadas
🔐 Seguridad de Datos
- Encriptación SSL/TLS para todas las comunicaciones
- Hashing seguro de contraseñas (bcrypt)
- Tokens de sesión con expiración automática
- Protección contra inyección SQL
🛡️ Seguridad de Aplicación
- Validación de entrada en cliente y servidor
- Protección CSRF (Cross-Site Request Forgery)
- Headers de seguridad (CSP, HSTS, X-Frame-Options)
- Rate limiting en endpoints críticos
👥 Seguridad de Acceso
- Autenticación de dos factores (2FA) disponible
- Control de acceso basado en roles (RBAC)
- Auditoría de accesos a datos sensibles
- Sesiones únicas por dispositivo
🔍 Monitoreo y Respuesta
- Monitoreo 24/7 de actividades sospechosas
- Logs de seguridad y auditoría
- Plan de respuesta a incidentes
- Respaldos automáticos diarios
2. Programa de Divulgación Responsable
Agradecemos a investigadores de seguridad que nos ayudan a mantener la plataforma segura. Si descubre una vulnerabilidad, le pedimos que la reporte de forma responsable.
Ámbito de Cobertura
✅ Dentro del alcance:
- Vulnerabilidades en misionesarrienda.com.ar
- Inyección SQL, XSS, CSRF
- Escalación de privilegios
- Exposición de datos sensibles
- Bypass de autenticación
❌ Fuera del alcance:
- Ataques de denegación de servicio (DoS/DDoS)
- Ingeniería social o phishing
- Vulnerabilidades en servicios de terceros
- Reportes sin evidencia técnica
3. Cómo Reportar una Vulnerabilidad
📧 Proceso de Reporte
- Envíe un email a: cgonzalezarchilla@gmail.com
Asunto: "Reporte de Vulnerabilidad de Seguridad"
- Incluya la siguiente información:
- Descripción detallada de la vulnerabilidad
- Pasos para reproducir el problema
- Impacto potencial
- Capturas de pantalla o videos (si aplica)
- Su información de contacto
- Espere nuestra respuesta: Confirmaremos recepción en 48 horas
- Colabore con nosotros: Podemos solicitar información adicional
⚠️ Importante: Por favor, NO divulgue públicamente la vulnerabilidad hasta que hayamos tenido oportunidad de solucionarla. Respetamos la divulgación coordinada.
4. Tiempos de Respuesta
🔴 Crítica
Exposición de datos, bypass de autenticación
Respuesta: 24 horas
Solución: 7 días
🟠 Alta
XSS, CSRF, escalación de privilegios
Respuesta: 48 horas
Solución: 14 días
🟡 Media
Problemas de configuración, información sensible
Respuesta: 5 días
Solución: 30 días
🔵 Baja
Mejoras de seguridad, hardening
Respuesta: 7 días
Solución: 60 días
5. Buenas Prácticas para Investigadores
Para mantener un programa de seguridad efectivo y ético, solicitamos:
- NO acceder, modificar o eliminar datos de otros usuarios
- NO realizar ataques de denegación de servicio
- NO utilizar técnicas de ingeniería social contra empleados o usuarios
- Limitar las pruebas a cuentas de prueba propias
- Reportar vulnerabilidades de forma privada antes de divulgarlas
- Dar tiempo razonable para solucionar el problema antes de divulgación pública
6. Reconocimiento
Agradecemos públicamente a investigadores que reporten vulnerabilidades de forma responsable:
- Reconocimiento en nuestra página de agradecimientos (con su permiso)
- Comunicación directa sobre el progreso de la solución
- Crédito en notas de versión cuando se publique el fix
Nota: Actualmente no ofrecemos recompensas monetarias (bug bounty), pero valoramos enormemente las contribuciones a la seguridad de nuestra plataforma.
7. Contacto de Seguridad
Para reportes de seguridad o consultas relacionadas:
8. Responsable de Seguridad
Responsable: Carlos González Archilla
CUIT: 20-35015391-9
Domicilio: French 1253, Oberá (N3360), Misiones, Argentina