Cómo reportar
Envía tu reporte por correo a security@drokio.com. Los detalles de contacto legibles por máquina están publicados en nuestro archivo security.txt (RFC 9116).
Para ayudarnos a reproducir y priorizar, por favor incluye:
- Una descripción clara del problema y su impacto potencial.
- Pasos de reproducción detallados (URL, parámetros, prueba de concepto mínima).
- El componente, dominio o endpoint afectado y la fecha/hora aproximada de tus pruebas.
- Cualquier registro, captura o respuesta que respalde el hallazgo.
Si necesitas enviar información sensible y prefieres cifrado, indícalo en tu primer correo y coordinaremos un canal seguro.
Alcance
Están dentro de alcance los activos operados por Drokio:
- El sitio y la aplicación web en
drokio.comy sus subdominios operados por Drokio. - Las APIs públicas de Drokio servidas desde esos dominios.
- Vulnerabilidades de seguridad demostrables: por ejemplo inyección, control de acceso roto, exposición de datos, SSRF, o errores de autenticación/autorización.
Fuera de alcance
Lo siguiente está fuera de alcance y normalmente no será aceptado:
- Servicios de terceros que no son operados por Drokio (por ejemplo nuestro proveedor de hosting, CDN o pasarela de pagos). Repórtalos directamente a ese proveedor.
- Ataques de denegación de servicio (DoS/DDoS), pruebas de carga o de volumen, y fuerza bruta.
- Ingeniería social, phishing a empleados o clientes, y acceso físico.
- Reportes generados únicamente por escáneres automáticos sin un impacto demostrado.
- Ausencia de cabeceras o "mejores prácticas" sin un vector de explotación concreto (p. ej. banner de versión, SPF/DMARC informativo, autocompletar de formularios).
- Acceder, modificar o destruir datos que no te pertenezcan, o degradar el servicio para otros usuarios.
Puerto seguro (safe harbor)
Consideramos la investigación de seguridad realizada de buena fe y conforme a esta política como una actividad autorizada. Si cumples con esta política, no iniciaremos acciones legales en tu contra por tu investigación y trabajaremos contigo para entender y resolver el problema con rapidez.
Para mantenerte dentro del puerto seguro:
- Actúa de buena fe; no causes daño a Drokio, sus usuarios ni a terceros.
- Usa solo cuentas de prueba propias; no accedas, modifiques ni exfiltres datos de otras personas.
- Detente apenas confirmes una vulnerabilidad y repórtala; no la explotes más allá de lo necesario para demostrarla.
- No divulgues públicamente el hallazgo hasta que lo hayamos resuelto y lo hayamos coordinado contigo.
Esta política es una declaración de buena fe de parte de Drokio y no constituye un acuerdo legal vinculante ni renuncia a derechos de terceros. Ante la duda sobre si una acción está autorizada, escríbenos primero a security@drokio.com.
Qué ofrecemos
Seamos honestos sobre lo que podemos ofrecer hoy. Drokio es una startup en etapa beta y no contamos con un programa de recompensas monetarias en este momento.
- Un acuse de recibo de tu reporte y comunicación directa con una persona del equipo.
- Nuestro agradecimiento sincero y, si lo deseas, crédito público (reconocimiento opcional) una vez resuelto el problema.
- Transparencia sobre nuestra evaluación y el estado de la corrección.
Si en el futuro lanzamos un programa de recompensas, lo anunciaremos públicamente y actualizaremos esta página. Hasta entonces, no prometemos pagos.
Tiempos de respuesta esperados
Estos son objetivos de mejor esfuerzo, no garantías contractuales:
- Acuse de recibo: dentro de 3 días hábiles desde tu reporte.
- Evaluación inicial: una valoración de validez y severidad dentro de 10 días hábiles.
- Resolución: trabajaremos para corregir los problemas válidos según su severidad y te mantendremos al tanto. No fijamos un plazo de corrección garantizado.
Preferimos la divulgación coordinada: acordaremos contigo un momento razonable para hacer público el hallazgo una vez resuelto.
¿Buscas información general sobre nuestras prácticas de seguridad? Visita nuestra página de Seguridad.