Reportar Vulnerabilidad o
Incidente de Seguridad
Estudio Ideas Diseño Ltda. valora la colaboración de la comunidad de seguridad, clientes y usuarios en la identificación responsable de vulnerabilidades. Esta política describe cómo reportar una vulnerabilidad o un incidente de seguridad de forma segura, y qué compromisos asumimos frente a quienes lo hagan de buena fe.
Qué sistemas cubre esta política de divulgación responsable.
Esta política aplica a los sitios web, aplicaciones, plugins, servidores y demás sistemas administrados directamente por Estudio Ideas Diseño Ltda., incluyendo su infraestructura de hosting, plataformas propias de desarrollo y los sitios de clientes alojados bajo su administración.
Su objetivo es habilitar un canal claro y seguro mediante el cual investigadores de seguridad, clientes o cualquier persona que identifique una vulnerabilidad puedan reportarla de forma responsable, permitiendo a Estudio Ideas evaluarla y corregirla antes de que sea explotada o divulgada públicamente.
Vulnerabilidades técnicas reales, no reportes automatizados de escáneres genéricos.
Se considera un reporte válido aquel que identifique, entre otras, las siguientes categorías de vulnerabilidades:
- Inyección SQL, XSS, CSRF u otras vulnerabilidades de aplicación web.
- Exposición de credenciales, claves API o información sensible.
- Fallas de control de acceso o escalamiento de privilegios.
- Configuraciones inseguras que permitan acceso no autorizado a datos o sistemas.
- Vulnerabilidades en plugins o desarrollos propios de Estudio Ideas.
No se consideran reportes válidos los resultados genéricos de escáneres automatizados sin verificación manual, reportes sobre versiones de software desactualizadas sin una vulnerabilidad explotable demostrada, ni observaciones puramente teóricas sin impacto real de seguridad.
Canal de contacto exclusivo para reportes de seguridad.
Los reportes de vulnerabilidades o incidentes de seguridad deben enviarse exclusivamente a través de nuestro canal oficial de seguridad: seguridad@estudioideas.cl.
No se procesarán reportes enviados por redes sociales, formularios de contacto general, WhatsApp u otros canales no destinados a este fin, dado que dichos canales no garantizan el manejo confidencial requerido para este tipo de comunicaciones.
Descripción, pasos de reproducción, impacto y evidencia mínima necesaria.
Para agilizar la evaluación, el reporte debe incluir, en la medida de lo posible:
- Descripción clara de la vulnerabilidad identificada.
- URL, dominio o sistema afectado.
- Pasos detallados para reproducirla.
- Impacto potencial (qué podría lograr un atacante que la explote).
- Evidencia técnica (capturas de pantalla, solicitudes HTTP, código de prueba de concepto), evitando el uso de datos reales de terceros.
- Un medio de contacto para dar seguimiento al reporte.
Está permitido probar la vulnerabilidad; no está permitido explotarla más allá de lo necesario.
Al investigar una posible vulnerabilidad, quien reporte debe:
- Limitar sus pruebas a lo estrictamente necesario para demostrar la existencia de la vulnerabilidad (prueba de concepto).
- No acceder, modificar, eliminar o exfiltrar datos personales o confidenciales de terceros, propios o de clientes de Estudio Ideas.
- No ejecutar ataques que puedan degradar el servicio, tales como denegación de servicio (DoS/DDoS), fuerza bruta masiva o envío masivo de solicitudes.
- No utilizar la vulnerabilidad identificada para obtener beneficio propio ni para afectar a otros usuarios o clientes.
- Detener la investigación e informar de inmediato en caso de acceder accidentalmente a datos que no debía ver.
Los reportes hechos de buena fe y conforme a esta política no serán perseguidos legalmente.
Estudio Ideas no iniciará ni promoverá acciones legales en contra de quien reporte una vulnerabilidad de buena fe, siempre que dicha persona haya actuado conforme a las reglas de investigación descritas en esta política, no haya causado daño a los sistemas, datos o usuarios afectados, y haya reportado la vulnerabilidad a través del canal oficial antes de divulgarla públicamente o a terceros.
Este compromiso no exime de responsabilidad a quien actúe de mala fe, cause daño intencional, acceda a datos de terceros más allá de lo necesario para la prueba de concepto, o incumpla cualquiera de las condiciones establecidas en esta política.
Se solicita no publicar la vulnerabilidad hasta que exista una solución o un plazo acordado.
Solicitamos a quien reporte una vulnerabilidad que se abstenga de divulgarla públicamente (en redes sociales, foros, blogs o medios de comunicación) hasta que Estudio Ideas haya implementado una solución, o hasta que ambas partes acuerden un plazo razonable de divulgación coordinada, el cual normalmente no debería exceder de 90 días corridos desde la recepción del reporte, salvo que la complejidad de la corrección justifique un plazo mayor, lo que será informado oportunamente a quien reportó.
La información del reporte se trata de forma confidencial y solo para fines de corrección.
Toda información recibida a través de esta política será tratada de forma confidencial, utilizándose exclusivamente para evaluar, corregir y prevenir la vulnerabilidad o el incidente reportado, sin perjuicio de la obligación legal de Estudio Ideas de notificar brechas de seguridad conforme a la Ley N.º 21.719 cuando dicha vulnerabilidad haya afectado efectivamente datos personales.
Confirmación de recepción y evaluación en plazos razonables.
Estudio Ideas procurará confirmar la recepción de todo reporte válido dentro de un plazo razonable, y comunicará a quien reportó el estado general de la evaluación (aceptado, en investigación, no reproducible o descartado), sin comprometerse a entregar detalles técnicos internos de la corrección mientras esta se encuentre en curso.
No existe un programa de recompensas económicas; sí puede existir reconocimiento público.
Estudio Ideas no cuenta actualmente con un programa de recompensas económicas (bug bounty) por el reporte de vulnerabilidades. No obstante, cuando quien reporte lo autorice expresamente, Estudio Ideas podrá reconocer públicamente su colaboración una vez corregida la vulnerabilidad, como muestra de agradecimiento por su aporte a la seguridad de la plataforma.
Servicios de terceros y ciertos tipos de reportes no cubiertos por esta política.
Quedan fuera del alcance de esta política, entre otros:
- Vulnerabilidades en servicios de terceros integrados (Cloudflare, pasarelas de pago, proveedores cloud), las cuales deben reportarse directamente al proveedor correspondiente.
- Ataques de ingeniería social, phishing o suplantación dirigidos a empleados o clientes.
- Reportes relativos a la ausencia de mejores prácticas sin impacto de seguridad demostrable (por ejemplo, cabeceras de seguridad opcionales sin vulnerabilidad explotable asociada).
- Vulnerabilidades ya conocidas y en proceso de corrección por parte de Estudio Ideas.
Canal exclusivo para reportes de seguridad.
Para reportar una vulnerabilidad o un incidente de seguridad, escríbenos a seguridad@estudioideas.cl. Para consultas generales no relacionadas con seguridad, utiliza los canales de contacto habituales publicados en nuestro sitio web.
Esta política se revisa periódicamente conforme evolucione nuestra postura de seguridad.
Estudio Ideas se compromete a mantener esta política actualizada, revisándola al menos una vez al año o ante cualquier cambio significativo en su infraestructura, procesos internos de gestión de incidentes o normativa aplicable.
¿Tu sitio cumple con la
Ley N.º 21.719?
Adecuamos tu sitio web a la nueva Ley de Protección de Datos Personales mediante una auditoría técnica y legal especializada.
Nuestra Post Venta es
Ilimitada *
* Requiere ser cliente con Hosting Estudio Ideas
¿Eres cliente Estudio Ideas?
Agéndate cuantas veces lo necesites. Te invitamos a probar a 'Liam', nuestro nuevo agente de ventas y soporte impulsado por Inteligencia Artificial, disponible en la caja de chat o, inicia tu WhatsApp ahora mismo.
¿Aún no eres cliente Estudio Ideas?
¡Que esperas!, también puedes agendarte para una atención más personalizada.
¡Agéndate Online!