chatia.pro

Política de Divulgación de Seguridad

Si descubriste una vulnerabilidad en Chatia, te pedimos reportarla de manera responsable a través del canal indicado abajo. Nos comprometemos a responder dentro de las 48 horas y a coordinar la divulgación con vos.

Contacto

Email: [email protected]
PGP: disponible bajo pedido.

Archivo security.txt conforme RFC 9116: /.well-known/security.txt.

Alcance

  • Dominios cubiertos: chatia.pro, www.chatia.pro y todos sus subdominios.
  • API REST documentada en /docs/api.
  • Aplicación web servida desde el dominio canónico.

Fuera de alcance

  • Ataques de denegación de servicio (DoS/DDoS) — no testees flooding, rate-limit bypass agresivo ni resource exhaustion.
  • Vulnerabilidades reportadas únicamente por scanners automáticos sin prueba de impacto real.
  • Reportes de configuración SPF/DKIM/DMARC en dominios secundarios sin impacto demostrable.
  • Self-XSS o issues que requieran ingeniería social fuera del producto.

Buenas prácticas que pedimos

  • No accedas a datos de otros usuarios. Si encontrás un bug que te lo permite, detenete y reportanos.
  • No publiques la vulnerabilidad en foros públicos hasta que la hayamos parcheado y coordinado disclosure con vos.
  • Dejanos un PoC reproducible — capturas, comandos curl, request/response.

Nuestro compromiso (Safe Harbor)

Si seguís esta política y reportás de buena fe, no iniciaremos acciones legales contra vos por la investigación realizada. No consideramos los reportes responsables como una violación de los términos de servicio.

Reconocimientos

Con tu permiso, publicamos un reconocimiento público al investigador en nuestro hall of fame una vez parcheada la vulnerabilidad. Si preferís permanecer anónimo, lo respetamos.

Plazos de respuesta

  • Acuse de recibo: dentro de 48 horas.
  • Triage inicial y severidad asignada: dentro de 5 días hábiles.
  • Parche o mitigación coordinada: según severidad — críticas dentro de 14 días, altas dentro de 30, medias/bajas en el siguiente ciclo de release.