Política de Seguridad

Contacto: https://github.com/Cap-go/capgo/security/advisories/new
Canónico: https://capgo.app/security.txt

En Capgo, consideramos la seguridad de nuestros sistemas como una prioridad fundamental. Sin embargo, no importa cuánto esfuerzo dediquemos a la seguridad del sistema, siempre pueden existir vulnerabilidades.

Si descubres una vulnerabilidad, nos gustaría que nos lo hicieras saber para que podamos tomar medidas para abordarla lo antes posible. Nos gustaría pedirte que nos ayudes a proteger mejor a nuestros clientes y nuestros sistemas.

Vulnerabilidades fuera del alcance:

• Clickjacking en páginas sin acciones sensibles.
• CSRF no autenticado/cerrar sesión/iniciar sesión.
• Ataques que requieren MITM o acceso físico al dispositivo de un usuario.
• Ataques que requieren ingeniería social.
• Cualquier actividad que pudiera llevar a la interrupción de nuestro servicio (DoS).
• Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque/sin poder modificar HTML/CSS.
• Suplantación de correo electrónico
• Faltan encabezados DNSSEC, CAA, CSP
• Falta de la bandera Secure o HTTP only en cookies no sensibles
• Enlaces rotos
• Enumeración de usuarios

Directrices de prueba:

• No ejecute escáneres automatizados en otros proyectos de clientes. Ejecutar escáneres automatizados puede aumentar los costos para nuestros usuarios. Los escáneres configurados de manera agresiva podrían interrumpir inadvertidamente los servicios, explotar vulnerabilidades, provocar inestabilidad en el sistema o violaciones y infringir los Términos de Servicio de nuestros proveedores. Nuestros propios sistemas de seguridad no podrán distinguir la exploración hostil de la investigación ética. Si desea ejecutar un escáner automatizado, notifíquenos a security@capgo.app y solo utilícelo en su propio proyecto de Capgo. NO ataque proyectos de otros clientes.
• No aproveches la vulnerabilidad o el problema que has descubierto, por ejemplo, descargando más datos de los necesarios para demostrar la vulnerabilidad o eliminando o modificando los datos de otras personas.

Directrices de informes:

• Envía tus hallazgos a través de nuestro Aviso de Seguridad de GitHub:: https://github.com/Cap-go/capgo/security/advisories/new
• Proporcione suficiente información para reproducir el problema, de modo que podamos resolverlo lo más rápido posible.

Directrices de divulgación:

• Para proteger a nuestros clientes, no revele el problema a otros hasta que hayamos investigado, abordado e informado a nuestros clientes afectados.
• Si deseas compartir públicamente tu investigación sobre Capgo en una conferencia, en un blog o en cualquier otro foro público, debes compartir un borrador con nosotros para revisión y aprobación al menos 30 días antes de la fecha de publicación. Ten en cuenta que no se deben incluir los siguientes:
  • Datos sobre cualquier proyecto de clientes de Capgo.
  • Datos de clientes de Capgo
  • Información sobre empleados, contratistas o socios de Capgo

Lo que prometemos:

• Responderemos a su informe dentro de los 7 días hábiles con nuestra evaluación del informe y una fecha de resolución esperada.
• Si has seguido las instrucciones anteriores, no tomaremos ninguna acción legal contra ti con respecto al informe.
• Manejaremos su informe con estricta confidencialidad y no compartiremos sus datos personales con terceros sin su permiso.
• Le mantendremos informado sobre el progreso en la resolución del problema.
• En la información pública acerca del problema reportado, daremos su nombre como el descubridor del problema (a menos que usted desee lo contrario).

Nos esforzamos por resolver todos los problemas lo más rápido posible y nos gustaría jugar un papel activo en la publicación final sobre el problema una vez que se resuelva.