Divulgación responsable

Seguridad en Pikly

Pikly está construido como una app de inventario con privacidad primero. Si crees haber encontrado una vulnerabilidad, repórtala de forma responsable para que podamos revisarla, corregirla y proteger a los usuarios.

Reportar una vulnerabilidad

Si crees haber encontrado un problema de seguridad en Pikly, contáctanos antes de compartirlo públicamente.

Contacto de seguridad [email protected]
Enviar informe

Qué incluir

Cuanto más claro sea tu informe, más rápido podremos validar y solucionar el problema.

  • Una descripción clara del problema y su posible impacto.
  • Instrucciones paso a paso para reproducir el problema.
  • La página afectada, la versión de la app, el sistema operativo, el navegador, el dispositivo o la función.
  • Capturas de pantalla, grabaciones, registros o pruebas de concepto cuando sean útiles.
  • Cualquier condición necesaria para reproducir el problema, como permisos, ajustes del dispositivo o estado de la suscripción.

Por favor no

Las pruebas deben ser respetuosas, limitadas y evitar daños a Pikly, los usuarios o la infraestructura.

  • ×Acceder, modificar, eliminar, copiar o exponer los datos de otro usuario.
  • ×Realizar pruebas de denegación de servicio, estrés, spam, límites de tasa o agotamiento de recursos.
  • ×Usar ingeniería social, phishing, ataques físicos o intentos contra empleados, usuarios o proveedores de Pikly.
  • ×Instalar malware, persistir el acceso, eludir sistemas de pago o alterar suscripciones.
  • ×Divulgar públicamente el problema antes de que lo hayamos revisado y hayamos tenido una oportunidad razonable de abordarlo.

Alcance de las pruebas

Céntrate en superficies propiedad de Pikly y en las funciones que estés autorizado a usar.

Generalmente en el alcance

Páginas públicas del sitio web de Pikly, funciones de la app móvil de Pikly, flujo de escaneo de códigos de barras, funciones de inventario local, comportamiento de exportación CSV y lógica de acceso a suscripciones.

Generalmente fuera del alcance

Plataformas de terceros como Apple, Google, proveedores de pagos, proveedores de hosting, proveedores de correo, y problemas que requieran pruebas dañinas o de gran volumen.

Nuestro proceso de revisión

Procuramos gestionar los informes con cuidado y proporción según la gravedad y la reproducibilidad.

1

Recepción

Revisamos tu informe y podemos pedirte detalles adicionales si fuera necesario.

2

Validación

Intentamos reproducir el problema, evaluar el riesgo y priorizar la corrección.

3

Corrección

Trabajamos en una corrección, mitigación, cambio de configuración o actualización para el usuario cuando proceda.

4

Coordinación

Te pedimos que coordines cualquier divulgación con nosotros para proteger primero a los usuarios.

Investigación de buena fe

Valoramos la investigación de seguridad responsable que sigue estas directrices.

Si actúas de buena fe, evitas violaciones de privacidad, evitas interrumpir el servicio y nos das un plazo razonable para corregir el problema antes de divulgarlo, no emprenderemos intencionadamente acciones legales contra ti por la investigación en sí. Esto no autoriza actividades ilegales, acceso a sistemas de terceros, extorsión, amenazas, exfiltración de datos ni acciones que perjudiquen a usuarios o infraestructura.

Pikly no opera actualmente un programa de recompensas por errores remunerado. El envío de un informe no garantiza compensación, crédito ni reconocimiento público.

Contacto

Para informes de seguridad, usa [email protected]. Para preguntas de privacidad, consulta la Política de privacidad o contáctanos en la misma dirección.

Asunto de email sugerido

Security Report for Pikly