Política de seguridad

Lo esencial

Si has encontrado una vulnerabilidad en este sitio, no abras un issue público. Escríbeme a security@alexendros.me con los detalles. Responderé en 72 horas hábiles y trabajaré contigo para resolverla.

Cómo reportar

Incluye en tu reporte:

• Descripción del problema y posible impacto.
• Pasos para reproducir o prueba de concepto.
• Versiones afectadas.
• Cualquier mitigación temporal conocida.

Puedes cifrar el mensaje con la clave PGP publicada en el directorio Web Key Directory: gpg --auto-key-locate wkd --locate-key security@alexendros.me

SLA de respuesta

• Acuse de recibo: 72 horas hábiles.
• Evaluación inicial: 7 días naturales.
• Resolución o plan de mitigación: 30 días naturales (90 días para vulnerabilidades complejas que requieran reescritura).

Divulgación coordinada

Trabajamos contigo para coordinar la divulgación. Si la vulnerabilidad es explotable activamente publicaremos el aviso de seguridad lo antes posible sin comprometer las personas usuarias.

Reconocimiento

Reconocemos públicamente a quienes nos ayudan a mejorar la seguridad salvo que solicitéis lo contrario.

Marco normativo aplicable

Este proyecto se desarrolla y mantiene desde España. La política de divulgación responsable se inspira en lo previsto en el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, RGPD, art. 33 y 34) y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) cuando aplique.

Contacto

Para consultas no urgentes y solicitudes de información sobre seguridad del proyecto: security@alexendros.me.