En ActorDoestamos comprometidos a mantener el más alto nivel de seguridad, integridad y confianza para nuestros usuarios, socios y sistemas.

Más información sobre Actor Seguridad de datos y Política de privacidad

Nuestro Programa de Divulgación de Vulnerabilidades (PDV) está diseñado para proporcionar una forma clara, segura y responsable para que los investigadores de seguridad, hackers éticos y la comunidad informen sobre vulnerabilidades de seguridad en nuestros productos y servicios.

Este programa fomenta la cooperación y la divulgación responsable, lo que nos permite identificar, corregir y minimizar riesgos antes de que puedan ser explotados.

Alcance

Los sistemas/activos dentro del alcance incluyen (pero no se limitan estrictamente a):

  • Aplicaciones web y API de ActorDo
  • Servicios backend, microservicios e infraestructura en la nube
  • Sistemas internos, según lo permitido con aprobación previa (ver contacto)

Los sistemas/activos fuera del alcance incluyen:

  • Servicios, integraciones o dependencias de terceros no desarrollados por ActorDo
  • Ataques físicos / hardware (p. ej., centros de datos, dispositivos salvo autorización explícita)
  • Ingeniería social, phishing o suplantación de identidad (salvo autorización escrita explícita)
  • Errores que no sean de seguridad o solicitudes de funciones
  • Cualquier prueba que pueda causar interrupción del servicio o denegación de servicio

Para calificar, la vulnerabilidad debe:

  • Estar presente en el última versión publicada públicamente (o beta lanzada oficialmente)
  • Conducir a un impacto de seguridad (p. ej., fuga de datos, escalada de privilegios, ejecución remota de código, elusión de controles)

Pautas y reglas de actuación

Al participar, siga estas reglas para seguir siendo elegible para reconocimiento o recompensas:

  1. No cause daño
    • No elimine ni modifique datos, ni interrumpa las operaciones normales.
    • Evite acciones disruptivas (p. ej., lanzar ataques DDoS o provocar la degradación del servicio).
  2. Limite sus sondeos
    • No intente acceder o manipular datos no públicos más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
    • Cuando sea posible, utilice un entorno de pruebas o una cuenta no productiva.
  3. Confidencialidad
    • No divulgue los hallazgos públicamente (blogs, redes sociales, etc.) antes de que ActorDo haya tenido un tiempo razonable para responder y remediar (ver «Tiempos de divulgación»).
    • No comparta ni venda la información a terceros.
  4. No realice ingeniería social
    • El phishing, la suplantación de identidad u otras técnicas similares están fuera del alcance, salvo que se permitan explícitamente.
  5. Respete la privacidad y las restricciones legales
    • No viole las leyes de privacidad ni acceda a datos personales sensibles más allá de lo necesario para demostrar la falla.
    • Cumpla con las leyes, reglamentos y prácticas recomendadas locales aplicables.
  6. Divulgación y coordinación
    • Concédanos tiempo (normalmente 90 días) para resolver el problema antes de su divulgación pública, salvo que se acuerde lo contrario.
    • Si considera que una divulgación temprana está justificada (p. ej., riesgo de explotación), notifíquenos para que podamos coordinar un plazo más corto.

Las violaciones de estas reglas (por ejemplo, acciones destructivas, divulgación pública sin coordinación) pueden dejar una presentación inelegible para recompensas o reconocimiento público.

Cómo reportar una vulnerabilidad

Qué incluir en su informe

Envíe su informe a alex@actordo.com e incluya:

  • Una breve descripción del problema
  • Pasos para reproducirlo o prueba de concepto
  • Sistema o URL afectado
  • (Opcional) su nombre o alias para reconocimiento

Confirmaremos la recepción de su informe en 5 días hábiles y le mantendremos informado mientras trabajamos en una solución. No todos los envíos recibirán una confirmación si no se consideran válidos.

En su envío, indique si desea permanecer en el anonimato o ser reconocido públicamente.

Reconocimientos y recompensas

  • Podemos ofrecer recompensas de agradecimiento o reconocimiento público según el impacto y la claridad.
  • Las recompensas son discrecionales y dependen de la gravedad y la calidad del informe.
  • Los hallazgos duplicados o de bajo impacto pueden no ser elegibles.

Puerto seguro

Si sigue esta política de buena fe, usted está protegido frente a acciones legales relacionado con su investigación.

Gracias por ayudarnos a mantener ActorDo seguro.