ISMS Copilot
Seguridad

Reportar vulnerabilidades de seguridad

Si descubre una vulnerabilidad de seguridad en ISMS Copilot, queremos saberlo. Este artículo explica qué califica como un problema de seguridad, cómo reportarlo de manera responsable y qué esperar durante nuestro proceso de resolución.

No divulgue públicamente vulnerabilidades antes de que hayamos tenido la oportunidad de investigarlas y corregirlas. La divulgación pública pone en riesgo a todos los usuarios de ISMS Copilot.

Qué califica como vulnerabilidad de seguridad

Informe problemas que puedan comprometer:

  • Confidencialidad de datos: Acceso no autorizado a datos de usuarios, espacios de trabajo, conversaciones o documentos subidos

  • Autenticación y control de acceso: Evasión de inicio de sesión, secuestro de sesión, escalación de privilegios o acceso a cuentas de otros usuarios

  • Integridad de datos: Modificación o eliminación no autorizada de datos de usuarios o configuraciones del sistema

  • Seguridad de la aplicación: Inyección SQL, cross-site scripting (XSS), cross-site request forgery (CSRF) o ataques de inyección similares

  • Seguridad de la infraestructura: Configuraciones erróneas de servidores, credenciales expuestas o puntos finales de API inseguros

  • Fallos de cifrado: Cifrado débil o roto, transmisión insegura de datos o claves criptográficas expuestas

Qué no califica

Los siguientes no se consideran vulnerabilidades de seguridad:

  • Solicitudes de funciones o reportes generales de errores (utilice nuestro canal de soporte estándar para estos)

  • Problemas que requieren acceso físico al dispositivo de un usuario

  • Ataques de ingeniería social dirigidos a usuarios finales

  • Ataques de denegación de servicio (DoS) sin impacto demostrable

  • Spam o elusión de limitación de tasa para funciones legítimas

  • Vulnerabilidades en servicios de terceros que no controlamos (repórtelas directamente al proveedor)

Si no está seguro si un problema califica como vulnerabilidad de seguridad, repórtelo de todas formas. Preferimos revisar un falso positivo a perder una vulnerabilidad real.

Versiones compatibles

ISMS Copilot opera como una plataforma de software como servicio (SaaS) con despliegue continuo. Todos los usuarios ejecutan automáticamente la última versión de producción; no mantenemos versiones antiguas.

Las vulnerabilidades de seguridad deben reportarse para:

Cómo reportar una vulnerabilidad

Siga estos pasos para enviar una divulgación responsable:

  1. Contacte inmediatamente al soporte de ISMS Copilot a través del Centro de ayuda en https://help.ismscopilot.com o por correo a [email protected]

  2. Incluya información detallada:

    • Descripción de la vulnerabilidad y su posible impacto

    • Instrucciones paso a paso para reproducirla

    • URLs, endpoints o funciones afectadas

    • Capturas de pantalla, videos o código de prueba de concepto (si aplica)

    • Su valoración de severidad (baja, media, alta, crítica)

  3. No explote la vulnerabilidad más allá de lo necesario para demostrar el problema

  4. No acceda, modifique ni elimine datos de otros usuarios durante sus pruebas

  5. Mantenga la confidencialidad del problema hasta que confirmemos que la corrección está implementada

Cuanta más información proporcione, más rápido podremos validar y resolver el problema. Pasos claros para reproducirlo son especialmente valiosos.

Cronograma de respuesta y resolución

Cuando reporte una vulnerabilidad, esto es lo que sucede:

  1. Acuse de recibo inicial: Confirmaremos la recepción de su reporte dentro de las 24 horas

  2. Evaluación: Nuestro equipo de seguridad evaluará el problema dentro de las 24 horas para determinar severidad e impacto

  3. Investigación: Investigaremos la causa raíz y desarrollaremos una corrección. El tiempo depende de la complejidad:

    • Vulnerabilidades críticas: resolución en 48-72 horas

    • Problemas de alta severidad: resolución en 7 días

    • Problemas de severidad media/baja: resolución en 30 días

  4. Notificación: Si la vulnerabilidad afecta datos de usuarios, notificaremos a los afectados en un plazo de 72 horas (requisito del artículo 33 del RGPD)

  5. Confirmación de resolución: Le informaremos cuando la corrección se despliegue y confirmaremos que es seguro divulgarla públicamente (si decide hacerlo)

Agradecemos las divulgaciones responsables. Una vez resuelto el problema, estaremos encantados de reconocer su contribución públicamente (con su permiso) o mantenerla anónima si así lo prefiere.

Qué no hacer

Para proteger a todos los usuarios, evite:

  • Divulgación pública: No publique vulnerabilidades en redes sociales, foros o rastreadores públicos antes de que las hayamos resuelto

  • Pruebas excesivas: No realice análisis automatizados o pruebas de penetración que puedan afectar el servicio para otros usuarios

  • Exfiltración de datos: No descargue, almacene ni comparta datos de otros usuarios, ni siquiera para comprobar una vulnerabilidad

  • Extorsión o amenazas: La investigación de seguridad debe hacerse de buena fe para mejorar la plataforma, no para obtener ventajas

Programa de recompensas por errores

ISMS Copilot no opera actualmente un programa formal de recompensas con premios financieros. Valoramos profundamente a los investigadores de seguridad que reportan vulnerabilidades de forma responsable y reconoceremos su contribución públicamente (con permiso) cuando se resuelvan los problemas.

Podemos ofrecer reconocimiento, obsequios o créditos de servicio caso por caso para hallazgos especialmente impactantes.

Recursos relacionados

¿Preguntas?

Si no está seguro de si algo califica como vulnerabilidad de seguridad o necesita aclarar nuestro proceso de divulgación, contáctenos en [email protected]. Estamos aquí para ayudar a que ISMS Copilot sea más seguro.

¿Te fue útil?