Marco legal · Seguridad

Política de Seguridad y Divulgación Responsable

Los investigadores de seguridad son bienvenidos. Esta política describe el alcance, el canal de reporte y los compromisos mutuos al notificar vulnerabilidades en activos de JOYACORP.

Última actualización:

Alcance

  • www.joyacorp.com y subdominios bajo *.joyacorp.com
  • APIs bajo /api/*
  • Endpoints públicos de correo transaccional y formularios
  • Activos móviles y extensiones de terceros gestionados por JOYACORP

Fuera de alcance: infraestructura de terceros (Vercel, Cloudflare, Google, Resend), ingeniería social al personal, ataques físicos y DDoS volumétrico.

Canal de reporte

Envía los detalles a security@joyacorp.com. Incluye, como mínimo: descripción técnica, URL afectada, pasos para reproducir, evidencia (logs, capturas), impacto y —si aplica— mitigación sugerida. Aceptamos cifrado PGP a petición.

Tiempos de respuesta

  • Acuse de recibo: ≤ 48 horas hábiles.
  • Triage y severidad: ≤ 5 días hábiles.
  • Parche o mitigación (severidad crítica): ≤ 15 días calendario.
  • Severidad alta: ≤ 30 días.
  • Severidad media o baja: ≤ 90 días.

Safe Harbor

JOYACORP no iniciará acciones legales contra investigadores que actúen de buena fe, respeten esta política, no exfiltren datos personales más allá de lo necesario para demostrar la vulnerabilidad, no afecten la disponibilidad del servicio y no divulguen el hallazgo antes de la resolución coordinada.

Reglas de compromiso

  • No usar técnicas destructivas ni afectar la continuidad del servicio.
  • No acceder, copiar ni modificar información personal de terceros.
  • No ejecutar pruebas automatizadas agresivas (throttling a 10 req/s).
  • Mantener confidencialidad hasta coordinar el aviso público.

Reconocimiento

Los investigadores que reporten vulnerabilidades válidas pueden figurar en la página de agradecimientos de seguridad con su consentimiento expreso.

Contacto

Equipo de Seguridad JOYACORP · security@joyacorp.com · Referencia /.well-known/security.txt