Política de Seguridad y Divulgación Responsable

Los investigadores de seguridad son bienvenidos. Esta política describe el alcance, el canal de reporte y los compromisos mutuos que aplican al notificar vulnerabilidades en activos de JOYACORP.

Última actualización:

Alcance

  • www.joyacorp.com y todos los subdominios bajo *.joyacorp.com
  • APIs bajo /api/*
  • Endpoints públicos de correo transaccional y formularios
  • Activos móviles y extensiones de terceros gestionados por JOYACORP

Fuera de alcance: infraestructura de terceros (Vercel, Cloudflare, Google, Resend), ingeniería social al personal, ataques físicos, DDoS volumétrico.

Canal de reporte

Envía los detalles a security@joyacorp.com . Incluye, como mínimo: descripción técnica, URL afectada, pasos para reproducir, evidencia (logs, capturas), impacto y —si aplica— mitigación sugerida. Aceptamos cifrado PGP a petición.

Tiempos de respuesta

  • Acuse de recibo: ≤ 48 horas hábiles.
  • Triage y severidad: ≤ 5 días hábiles.
  • Parche / mitigación para severidad crítica: ≤ 15 días calendario.
  • Severidad alta: ≤ 30 días.
  • Severidad media/baja: ≤ 90 días.

Safe Harbor

JOYACORP no iniciará acciones legales contra investigadores que actúen de buena fe, que respeten esta política, que no exfiltren datos personales más allá de lo estrictamente necesario para demostrar la vulnerabilidad, que no afecten la disponibilidad del servicio y que no divulguen el hallazgo antes de la resolución.

Reglas de compromiso

  • No usar técnicas destructivas ni afectar la continuidad del servicio.
  • No acceder, copiar ni modificar información personal de terceros.
  • No ejecutar pruebas automatizadas agresivas (throttling a 10 req/s).
  • Mantener confidencialidad hasta coordinar el aviso público.

Reconocimiento

Los investigadores que reporten vulnerabilidades válidas pueden figurar en la página de agradecimientos de seguridad con su consentimiento expreso.

Contacto

Equipo de Seguridad JOYACORP · security@joyacorp.com · Referencia /.well-known/security.txt