Documento legal · versión v1.0-2026-05-21
Seguridad y divulgación responsable
Última actualización: 21 de mayo de 2026
1. Cómo reportar una vulnerabilidad
Si encuentras una vulnerabilidad de seguridad en TasacionFlow, escríbenos a criptojuli24@gmail.com. Te responderemos a la brevedad y trabajaremos contigo para entender el alcance.
Aceptamos reportes en español y en inglés. Si el reporte incluye información sensible, puedes pedir una clave PGP en el mismo correo y la enviaremos antes de que compartas detalles.
2. Qué incluir en el reporte
- Descripción del problema y el impacto que estimás.
- Pasos reproducibles desde una cuenta de prueba.
- Capturas, registros o URLs específicas cuando aplique.
- Tu nombre o seudónimo si quieres que te acreditemos al publicar la resolución.
3. Qué esperar de nosotros
- Acuse de recibo dentro de las 72 horas hábiles siguientes al reporte.
- Triage inicial con una clasificación de severidad y un plan de respuesta dentro de los 7 días.
- Comunicación periódica mientras desarrollamos la corrección, sin obligar al reportante a perseguirnos.
- Reconocimiento público opcional cuando se publique la corrección, si así lo prefieres.
No operamos un programa formal de bug bounty con recompensas monetarias durante esta fase. Esto puede cambiar cuando crezca la base de usuarios — lo anunciaremos aquí cuando ocurra.
4. Qué pedimos a los reportantes
- No accedas a datos de otros usuarios más allá de lo necesario para demostrar el problema.
- No degrades el servicio de forma intencional (DoS, abuso de rate limits, agotamiento de cuotas).
- Espera nuestra confirmación antes de divulgar públicamente un detalle reproducible.
Las personas que sigan esta política de divulgación responsable no serán objeto de acciones legales por parte de TasacionFlow.
5. Archivo security.txt
Publicamos los mismos contactos en /.well-known/security.txt siguiendo el estándar RFC 9116. Esa información expira el 2027-05-21T00:00:00.000Z y se renovará antes de esa fecha.