Reportar una vulnerabilidad
Si crees haber encontrado un problema de seguridad en Pikly, contáctanos antes de compartirlo públicamente.
Qué incluir
Cuanto más claro sea tu informe, más rápido podremos validar y solucionar el problema.
- ✓Una descripción clara del problema y su posible impacto.
- ✓Instrucciones paso a paso para reproducir el problema.
- ✓La página afectada, la versión de la app, el sistema operativo, el navegador, el dispositivo o la función.
- ✓Capturas de pantalla, grabaciones, registros o pruebas de concepto cuando sean útiles.
- ✓Cualquier condición necesaria para reproducir el problema, como permisos, ajustes del dispositivo o estado de la suscripción.
Por favor no
Las pruebas deben ser respetuosas, limitadas y evitar daños a Pikly, los usuarios o la infraestructura.
- ×Acceder, modificar, eliminar, copiar o exponer los datos de otro usuario.
- ×Realizar pruebas de denegación de servicio, estrés, spam, límites de tasa o agotamiento de recursos.
- ×Usar ingeniería social, phishing, ataques físicos o intentos contra empleados, usuarios o proveedores de Pikly.
- ×Instalar malware, persistir el acceso, eludir sistemas de pago o alterar suscripciones.
- ×Divulgar públicamente el problema antes de que lo hayamos revisado y hayamos tenido una oportunidad razonable de abordarlo.
Alcance de las pruebas
Céntrate en superficies propiedad de Pikly y en las funciones que estés autorizado a usar.
Generalmente en el alcance
Páginas públicas del sitio web de Pikly, funciones de la app móvil de Pikly, flujo de escaneo de códigos de barras, funciones de inventario local, comportamiento de exportación CSV y lógica de acceso a suscripciones.
Generalmente fuera del alcance
Plataformas de terceros como Apple, Google, proveedores de pagos, proveedores de hosting, proveedores de correo, y problemas que requieran pruebas dañinas o de gran volumen.
Nuestro proceso de revisión
Procuramos gestionar los informes con cuidado y proporción según la gravedad y la reproducibilidad.
Recepción
Revisamos tu informe y podemos pedirte detalles adicionales si fuera necesario.
Validación
Intentamos reproducir el problema, evaluar el riesgo y priorizar la corrección.
Corrección
Trabajamos en una corrección, mitigación, cambio de configuración o actualización para el usuario cuando proceda.
Coordinación
Te pedimos que coordines cualquier divulgación con nosotros para proteger primero a los usuarios.
Investigación de buena fe
Valoramos la investigación de seguridad responsable que sigue estas directrices.
Si actúas de buena fe, evitas violaciones de privacidad, evitas interrumpir el servicio y nos das un plazo razonable para corregir el problema antes de divulgarlo, no emprenderemos intencionadamente acciones legales contra ti por la investigación en sí. Esto no autoriza actividades ilegales, acceso a sistemas de terceros, extorsión, amenazas, exfiltración de datos ni acciones que perjudiquen a usuarios o infraestructura.
Pikly no opera actualmente un programa de recompensas por errores remunerado. El envío de un informe no garantiza compensación, crédito ni reconocimiento público.
Contacto
Para informes de seguridad, usa [email protected]. Para preguntas de privacidad, consulta la Política de privacidad o contáctanos en la misma dirección.
Asunto de email sugerido
Security Report for Pikly