1. Introducción
La seguridad es fundamental en nuestra forma de operar. Agradecemos los informes de investigadores de seguridad, hackers éticos y la comunidad en general que nos ayudan a identificar y abordar posibles vulnerabilidades. Esta política describe cómo reportar problemas de seguridad de forma responsable y qué puede esperar de nosotros.
2. Alcance
Esta política se aplica a las vulnerabilidades descubiertas en la aplicación web de unofax en unofax.com y sus APIs asociadas. Los siguientes elementos están fuera de alcance:
• Servicios de terceros (por ejemplo, procesamiento de pagos de Square, Google Analytics)
• Ataques de ingeniería social o phishing contra empleados o usuarios de unofax
• Ataques de denegación de servicio (DoS/DDoS)
• Problemas de seguridad física
• Vulnerabilidades en software o infraestructura que no pertenecen a unofax
3. Cómo Reportar
Si descubre una posible vulnerabilidad de seguridad, repórtela enviando un correo electrónico a support@unofax.com. Incluya la mayor cantidad de detalles posible:
• Una descripción de la vulnerabilidad y su posible impacto
• Pasos para reproducir el problema
• Cualquier evidencia de soporte (capturas de pantalla, código de prueba de concepto, registros)
• Su nombre e información de contacto (opcional, pero útil para seguimiento)
4. Nuestros Compromisos
Cuando usted reporta una vulnerabilidad de buena fe y de acuerdo con esta política, nos comprometemos a:
• Acusar recibo de su informe dentro de 3 días hábiles
• Proporcionar una evaluación inicial dentro de 10 días hábiles
• Mantenerlo informado sobre nuestro progreso hacia la resolución del problema
• No emprender acciones legales contra usted por sus actividades de investigación realizadas en cumplimiento de esta política
• Darle crédito (si lo desea) cuando abordemos públicamente la vulnerabilidad
5. Directrices para Investigadores
Para asegurar que su investigación se realice de forma responsable, por favor siga las siguientes directrices:
• No acceda, modifique ni elimine datos pertenecientes a otros usuarios
• No interrumpa ni degrade la disponibilidad de los servicios de unofax
• No divulgue públicamente la vulnerabilidad antes de que hayamos tenido una oportunidad razonable de abordarla
• Actúe de buena fe y evite cualquier acción que pueda perjudicar a unofax o a sus usuarios
• Solo realice pruebas con cuentas que le pertenezcan o para las que tenga permiso explícito
6. Puerto Seguro
Consideramos que la investigación de seguridad realizada de acuerdo con esta política está autorizada y no emprenderemos acciones legales contra investigadores que cumplan con estas directrices. Si un tercero inicia acciones legales contra usted por actividades realizadas en cumplimiento de esta política, tomaremos medidas razonables para hacer saber que sus acciones fueron autorizadas.
7. Exclusiones
Los siguientes tipos de hallazgos generalmente no son elegibles para consideración bajo esta política:
• Encabezados de seguridad faltantes que no conducen a un exploit demostrable
• Clickjacking en páginas sin acciones sensibles
• Self-XSS (cross-site scripting que solo afecta la propia sesión del usuario)
• Falta de limitación de tasa sin demostración de potencial de abuso
• Vulnerabilidades que requieren navegadores o plugins obsoletos
• Problemas descubiertos mediante escaneo automatizado sin verificación manual
8. Contacto
Para todos los informes y consultas, envíe un correo electrónico a support@unofax.com.