¿Qué es un Programa de Divulgación Responsable?

Un programa de divulgación responsable invita a los investigadores de seguridad a probar nuestras aplicaciones en busca de vulnerabilidades. Si descubre una falla de seguridad y la informa de manera responsable, siguiendo nuestras reglas, puede ser elegible para una recompensa. Este programa está diseñado para fomentar la colaboración entre Appinio y la comunidad de seguridad en un esfuerzo por mejorar la postura de seguridad general de Appinio.

El alcance de este programa incluye los siguientes dominios: research.appinio.com

Las siguientes vulnerabilidades están explícitamente fuera de alcance y no serán elegibles para recibir recompensas por errores. Ataques de Denegación de Servicio (DoS) Vulnerabilidades relacionadas con el Email (p. ej., configuraciones incorrectas de SPF, DKIM, DMARC) Ingeniería social Hallazgos relacionados con OSINT, como credenciales filtradas

Reporte de Vulnerabilidades

Para informar una vulnerabilidad, envíe un Email a vulnerability-reports@appinio.com. Su informe debe incluir la siguiente información: Una descripción clara y concisa de la vulnerabilidad, incluyendo el impacto potencial. Pasos para reproducir la vulnerabilidad. La URL afectada. Cualquier material de apoyo (p. ej., capturas de pantalla, código de prueba de concepto).

Acusaremos recibo de su informe lo antes posible y comenzaremos a evaluarlo inmediatamente después de su recepción. Nuestro objetivo es proporcionarle una confirmación de si consideramos válido su informe y otorgaremos una recompensa al final del proceso dentro de una semana, y nuestro objetivo es proporcionarle actualizaciones periódicas durante todo el proceso de desarrollo de la solución. Las recompensas se pagarán después de que se haya desarrollado una solución para la vulnerabilidad informada.

Le pedimos que no divulgue sus hallazgos a nadie más hasta que se haya solucionado la vulnerabilidad. Tenga en cuenta que no será elegible para recibir una recompensa si comparte públicamente sus hallazgos antes de que podamos solucionarlo. Evite las pruebas disruptivas que puedan causar interrupciones en nuestros sistemas. Las vulnerabilidades de Denegación de Servicio se consideran fuera de alcance y no serán recompensadas. Solo se le permite probar los sistemas dentro del alcance de este programa de recompensa de errores. No pruebe ningún sistema fuera del alcance de este programa. Una vez que haya confirmado que ha encontrado una vulnerabilidad, le pedimos que no intente una mayor explotación, sino que nos la informe de inmediato. Asegúrese de que su informe contenga toda la información relevante para verificar sus hallazgos. Esto nos ayudará a evaluar rápidamente su informe y resultará en un pago más rápido de su recompensa.

Seguridad

En Appinio, priorizamos la seguridad de tus datos y tomamos numerosas medidas para garantizar su confidencialidad, integridad y disponibilidad. Nuestro equipo de expertos supervisa nuestros sistemas y se adapta al cambiante panorama de la seguridad online para ofrecer el máximo nivel de protección. Nos comprometemos a mantener tu confianza y a garantizar la seguridad de tus datos.

Con la confianza y el cariño de más de 3.000 clientes

geobra Brandstaetter Stiftung & Co. KG original

Medidas implementadas para proteger tus datos

Seguridad de datos

Para garantizar la seguridad de los datos de nuestros clientes y usuarios de la app, Appinio emplea métodos de cifrado para datos inactivos y en tránsito. Utilizamos herramientas y módulos de seguridad de hardware para gestionar las claves de cifrado y seguimos las mejores prácticas estándar del sector para maximizar la seguridad.

Seguridad de infraestructura

Appinio utiliza Amazon Web Services para alojar la aplicación. Hacemos pleno uso de los productos de seguridad integrados en el ecosistema de AWS, incluidos GuardDuty, CloudWatch y CloudTrail. Además, desplegamos nuestra aplicación utilizando contenedores que funcionan en servicios gestionados de AWS, lo que significa que normalmente no gestionamos servidores o instancias EC2 en producción.

Seguridad de la aplicación

Para garantizar la seguridad de nuestro producto, Appinio emplea herramientas de alta calidad para analizar el código y buscar vulnerabilidades en cada fase del proceso de desarrollo. El tráfico dentro de nuestras aplicaciones y entre ellas siempre está protegido por SSL.

Seguridad de la información

Appinio se rige por el principio del mínimo privilegio en todas las partes críticas de nuestra infraestructura y sistemas. Aplicamos la autenticación multifactor en todas las herramientas que utilizamos y todos los meses impartimos formación sobre seguridad a nuestro personal.

Somos fiables y dignos de confianza

GDPR

Cumplimos plenamente con la normativa GDPR y estamos comprometidos con la protección de los datos personales.
Medidas técnicas y organizativas

Esta sección se está actualizando. Nuestras últimas medidas volverán a estar disponibles pronto.
SOC 2 Tipo II

Información temporalmente no disponible por migración de herramientas. Disponible de nuevo pronto.

¿Has descubierto algún problema de seguridad?

Si eres un experto/a en seguridad o investigador/a y crees haber descubierto un problema relacionado con la seguridad en los sitios web y productos de Appinio, agradeceremos tu ayuda. Por favor, infórmanos sobre el problema.

Lee más sobre nuestro Responsible Disclosure Program más abajo.

vulnerability-reports@appinio.com

Programa de divulgación de vulnerabilidades de Appinio

Valoramos enormemente la seguridad de nuestras aplicaciones y agradecemos a los investigadores de seguridad que nos ayudan a identificar y solucionar posibles vulnerabilidades. Agradecemos la divulgación responsable (Responsible Disclosure) de problemas de seguridad en los sistemas detallados a continuación.

Nota importante: Appinio no opera un programa de bug bounty remunerado ni ofrece recompensas económicas por las vulnerabilidades reportadas. Sin embargo, revisamos cada informe válido, solucionamos los problemas confirmados y estaremos encantados de dar crédito públicamente a los investigadores que reporten sus hallazgos de forma responsable (bajo petición).

Alcance (Scope)

Este programa cubre los siguientes dominios:

research.appinio.com

Fuera de alcance (Out of Scope)

Los siguientes puntos quedan explícitamente fuera del alcance:

Ataques de denegación de servicio (DoS/DDoS)
Hallazgos relacionados con el correo electrónico (p. ej., configuraciones erróneas de SPF, DKIM, DMARC)
Ingeniería social (Social Engineering)
Hallazgos relacionados con OSINT, como credenciales filtradas

Reportar una vulnerabilidad

To report a vulnerability, envía un correo electrónico a vulnerability-reports@appinio.com. Por favor, incluye en tu reporte:

Una descripción clara y concisa de la vulnerabilidad y su impacto potencial
Pasos para reproducirla
La URL afectada
Cualquier material de apoyo (p. ej., capturas de pantalla, código de prueba de concepto o PoC)

Un informe completo nos ayuda a realizar la evaluación inicial (Triage) rápidamente.

Plazos de respuesta

Confirmaremos la recepción de tu informe lo antes posible y comenzaremos la evaluación de inmediato. Evaluamos la gravedad del fallo utilizando la metodología de calificación de riesgos de OWASP.

Debido a limitaciones de capacidad actuales, priorizamos los informes de alta gravedad y nos esforzamos por confirmar si los consideramos válidos en un plazo de 14 días laborables. En el caso de informes de menor gravedad, la respuesta definitiva puede tardar hasta tres meses. Te mantendremos informado a lo largo de todo el proceso de mitigación.

Términos y condiciones

No divulgues tus hallazgos públicamente hasta que la vulnerabilidad haya sido subsanada. Te pedimos que coordines con nosotros los plazos de publicación (Coordinated Disclosure).
Evita realizar pruebas disruptivas. Las pruebas de denegación de servicio están estrictamente prohibidas.
Prueba únicamente los sistemas que estén dentro del alcance (In Scope). No investigues ningún sistema fuera de este límite.
En cuanto hayas confirmado una vulnerabilidad, detente. No intentes seguir explotándola; en su lugar, repórtanosla de inmediato.

Cómo funciona

Un programa de divulgación responsable invita a los investigadores de seguridad a probar nuestras aplicaciones en busca de vulnerabilidades. Si descubre una falla de seguridad y la informa de manera responsable, siguiendo nuestras reglas, puede ser elegible para una recompensa. Este programa está diseñado para fomentar la colaboración entre Appinio y la comunidad de seguridad en un esfuerzo por mejorar la postura de seguridad general de Appinio.
El alcance de este programa incluye los siguientes dominios:
- research.appinio.com
Las siguientes vulnerabilidades están explícitamente fuera de alcance y no serán elegibles para recibir recompensas por errores.
- Ataques de Denegación de Servicio (DoS)
- Vulnerabilidades relacionadas con el Email (p. ej., configuraciones incorrectas de SPF, DKIM, DMARC)
- Ingeniería social
- Hallazgos relacionados con OSINT, como credenciales filtradas
Para informar una vulnerabilidad, envíe un Email a vulnerability-reports@appinio.com. Su informe debe incluir la siguiente información:
- Una descripción clara y concisa de la vulnerabilidad, incluyendo el impacto potencial.
- Pasos para reproducir la vulnerabilidad.
- La URL afectada.
- Cualquier material de apoyo (p. ej., capturas de pantalla, código de prueba de concepto).
Acusaremos recibo de su informe lo antes posible y comenzaremos a evaluarlo inmediatamente después de su recepción. Nuestro objetivo es proporcionarle una confirmación de si consideramos válido su informe y otorgaremos una recompensa al final del proceso dentro de una semana, y nuestro objetivo es proporcionarle actualizaciones periódicas durante todo el proceso de desarrollo de la solución. Las recompensas se pagarán después de que se haya desarrollado una solución para la vulnerabilidad informada.
Le pedimos que no divulgue sus hallazgos a nadie más hasta que se haya solucionado la vulnerabilidad. Tenga en cuenta que no será elegible para recibir una recompensa si comparte públicamente sus hallazgos antes de que podamos solucionarlo.

Evite las pruebas disruptivas que puedan causar interrupciones en nuestros sistemas. Las vulnerabilidades de Denegación de Servicio se consideran fuera de alcance y no serán recompensadas.

Solo se le permite probar los sistemas dentro del alcance de este programa de recompensa de errores. No pruebe ningún sistema fuera del alcance de este programa.

Una vez que haya confirmado que ha encontrado una vulnerabilidad, le pedimos que no intente una mayor explotación, sino que nos la informe de inmediato.

Asegúrese de que su informe contenga toda la información relevante para verificar sus hallazgos. Esto nos ayudará a evaluar rápidamente su informe y resultará en un pago más rápido de su recompensa.