Cestwise AI← Volver al inicio

Política de Divulgación Responsable

Política de Coordinated Vulnerability Disclosure (CVD) elaborada conforme a la norma ISO/IEC 29147:2018, las recomendaciones de la ENISA, las directrices del INCIBE y al RFC 9116 (security.txt). El Responsable agradece la colaboración de la comunidad de seguridad y promueve el reporte responsable de vulnerabilidades como herramienta de protección de los Usuarios.

1. Alcance

Esta política aplica a todos los activos digitales del Servicio:

  • Sitio público cestwise.com y subdominios.
  • Aplicación web autenticada en app.cestwise.com (cuando se publique en su dominio definitivo).
  • API pública en /api/v1.
  • Aplicación móvil iOS / Android cuando se publiquen.
  • Aplicación de escritorio (Tauri) cuando se publique.

Quedan fuera del alcance: sistemas de terceros (Stripe, Supabase, Vercel, Anthropic, OpenAI, Google), supermercados accesibles a través del Asistente, infraestructura cloud de los proveedores. Reportes sobre dichos sistemas deben dirigirse a sus propios programas de divulgación.

2. Compromisos del Responsable (Safe Harbor)

Si la persona que reporta una vulnerabilidad actúa de buena fe y cumple los principios de esta política:

  • El Responsable no emprenderá acciones legales por la investigación realizada.
  • El Responsable no notificará a las autoridades para iniciar procedimientos sancionadores derivados de la investigación.
  • El Responsable se compromete a confirmar la recepción del reporte en un plazo máximo de tres (3) días hábiles.
  • El Responsable se compromete a comunicar el plan de mitigación o la decisión motivada en un plazo máximo de quince (15) días hábiles tras la confirmación.
  • El Responsable mantendrá informada a la persona reportante hasta la resolución y, salvo solicitud expresa en contrario, la mencionará en el agradecimiento público (Hall of Fame).

3. Principios que deben respetarse

La protección de Safe Harbor se condiciona al cumplimiento de los siguientes principios:

  • Reportar la vulnerabilidad sin difusión pública previa durante el plazo de respuesta razonable.
  • No acceder, modificar ni destruir datos de Usuarios reales más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
  • Utilizar exclusivamente cuentas de prueba propias o creadas para la investigación, evitando interactuar con cuentas de terceros sin su autorización.
  • No realizar pruebas que puedan degradar el servicio para los Usuarios reales (DDoS, fuzzing masivo, agotamiento de cuotas).
  • No realizar ingeniería social sobre el Responsable, su personal o terceros relacionados.
  • No instalar puertas traseras, scripts persistentes, malware ni modificar la configuración del Servicio.
  • Eliminar inmediatamente cualquier dato accedido tras finalizar la prueba.

4. Tipos de vulnerabilidades de interés

  • Inyecciones (SQL injection, XSS persistente, CSRF, server-side template injection).
  • Bypass de autenticación, escalado de privilegios, IDOR.
  • Exposición de datos sensibles, fugas de credenciales o tokens.
  • Vulnerabilidades en RLS de Supabase o en el aislamiento por tenant.
  • Vulnerabilidades en el flujo de pago o en la generación de fees.
  • Bypass del paywall suave o del cap mensual de fees.
  • Vulnerabilidades en el Asistente de Compra que permitan acciones no autorizadas.
  • Configuraciones erróneas de cabeceras HTTP de seguridad.

5. Vulnerabilidades fuera del programa

  • Volcados de información ya pública o no sensible.
  • Cuestiones puramente cosméticas (typos, alineación, colores).
  • Reportes derivados exclusivamente de scaneo automatizado sin PoC.
  • Cabeceras HTTP no críticas en endpoints estáticos.
  • Ataques de denegación de servicio sin demostración de explotabilidad real.
  • Reportes generados por modelos de IA sin validación humana del reportante.

6. Cómo reportar

Por orden de preferencia:

  1. Email cifrado a security@cestwise.com (clave PGP disponible bajo petición).
  2. Email simple a la misma dirección incluyendo:
    • Descripción detallada de la vulnerabilidad.
    • Pasos reproducibles (PoC).
    • Impacto estimado.
    • Versión / commit afectado si lo conoce.
    • Datos de contacto y, si lo desea, identidad pública.

7. Recompensas (bug bounty)

A la fecha de publicación, Cestwise no opera un programa formal de bug bounty con recompensas económicas. No obstante:

  • Reconocimiento público en el Hall of Fame (con consentimiento de la persona reportante).
  • Posibilidad de recompensa simbólica o monetaria a discreción del Responsable, valorada caso a caso según la gravedad del hallazgo y la calidad del reporte.

Cestwise se reserva el derecho de instaurar un programa formal con publicación de tabla de recompensas en el futuro, anunciándolo previamente en esta misma URL.

8. Confidencialidad y publicación coordinada

El plazo razonable de embargo es de noventa (90) días desde el reporte para vulnerabilidades de severidad alta o crítica, ampliable de mutuo acuerdo cuando la complejidad del fix lo justifique. Tras ese plazo, la persona reportante podrá publicar los detalles de la vulnerabilidad de forma responsable, sin perjuicio de las obligaciones legales de notificación a las autoridades competentes en su caso.

9. Reporte de incidentes por Usuarios

Los Usuarios que detecten un incidente de seguridad relativo a su cuenta (posible compromiso, accesos sospechosos, uso indebido de credenciales) deberán contactar inmediatamente con security@cestwise.com y revocar todas las sesiones activas desde /app/settings/security.

10. Brechas de seguridad y notificaciones

En caso de violación de la seguridad de los datos personales, aplica íntegramente el apartado 13 de la Política de Privacidad. El Responsable notificará a la AEPD en menos de setenta y dos (72) horas conforme al art. 33 RGPD y a los Usuarios afectados cuando proceda conforme al art. 34 RGPD.

11. security.txt

La presente política se complementa con un fichero security.txt publicado conforme al RFC 9116 en la URL canónica /.well-known/security.txt.

Versión 1.0 · Última actualización: 2 de mayo de 2026.