Política de Divulgación Responsable de Vulnerabilidades

Última actualización: 20 de Julio de 2025

1. Objetivo

Canal para reportar vulnerabilidades de forma segura y de buena fe.

2. Alcance

Dominios y servicios productivos de Patruia. Excluye ingeniería social, ataques a usuarios y pruebas de denegación.

3. Reglas

• No exfiltrar datos reales más allá de mínima evidencia.
• No afectar disponibilidad.
• No pivotar a sistemas de terceros.
• Evitar datos personales; usar cuentas de prueba.

4. Reporte

Correo: contactanos@patruia.co. Incluir descripción técnica, impacto, pasos de reproducción, evidencia y sugerencia de mitigación.

5. Reconocimiento

Posible mención pública tras corrección y solicitud del investigador.

6. Coordinación

Acuse de recibo y seguimiento hasta mitigación o explicación de no vulnerabilidad.

7. No Retaliación

No acciones legales por pruebas dentro de esta política y buena fe.

8. Divulgación Pública

Esperar corrección o 90 días (lo que ocurra primero) salvo acuerdo diferente.