Agenda una Demo Iniciar sesión
Agenda una Demo Iniciar sesión
Agenda una Demo Iniciar sesión
Enveedo

Política de divulgación responsable

Fecha de entrada en vigor: 23 de junio de 2025

Enveedo tiene como objetivo mantener su plataforma segura para todos, y la seguridad de los datos es nuestra prioridad. Si usted es un investigador de seguridad y ha descubierto una vulnerabilidad de seguridad en nuestra plataforma, le agradecemos su ayuda para revelárnosla de forma segura y responsable.

Actualmente no disponemos de un programa de recompensas por fallos, pero en caso de cualquier hallazgo o posible hallazgo que se refiera a esta cláusula de "divulgación de vulnerabilidades", no dude en ponerse en contacto con security@enveedo.com para iniciar el proceso de intercambio seguro de información. Acusaremos recibo de su correo electrónico en el plazo de una semana.

Sólo se gestionarán las vulnerabilidades enviadas a través del canal apropiado. Si anteriormente nos ha revelado una vulnerabilidad de forma responsable, no vuelva a hacerlo.

Cuando envíe una vulnerabilidad, describa adecuadamente el escenario del ataque, el nivel de explotabilidad, el impacto del hallazgo en Enveedo y/o en los clientes y usuarios de Enveedo, y un informe detallado con pasos reproducibles. Si el informe no es lo suficientemente detallado como para reproducir el problema, éste no será gestionado por nuestro equipo.

Vulnerabilidades fuera del alcance y exclusiones

Nuestro programa atenderá sólo un grupo seleccionado de vulnerabilidades pero los siguientes problemas serán considerados fuera de alcance:

  1. Clickjacking en páginas sin acciones sensibles.
  2. Cross-Site Request Forgery (CSRF) en formularios no autenticados o formularios sin acciones sensibles.
  3. Bibliotecas vulnerables previamente conocidas sin una prueba de concepto operativa.
  4. Cualquier actividad que pueda provocar la interrupción de nuestro servicio (DoS).
  5. Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
  6. Ausencia de buenas prácticas en la política de seguridad de contenidos.
  7. Ausencia de buenas prácticas de correo electrónico (por ejemplo, registros SPF/DKIM/DMARC no válidos, incompletos o inexistentes).
  8. Vulnerabilidades que afectan a usuarios de navegadores obsoletos o sin parches.
  9. Vulnerabilidades públicas de día cero que han tenido un parche oficial disponible durante menos de 1 mes.
  10. Redireccionamiento abierto (sin impacto de seguridad adicional demostrado).

Por favor, no informe de ninguno de los temas anteriores.

Póngase en contacto con

Agradecemos sus comentarios, preguntas y sugerencias. No dude en ponerse en contacto con nosotros en security@enveedo.com.