Política de Divulgación de Vulnerabilidades

diezX toma en serio la seguridad de nuestros clientes, usuarios y la integridad de nuestra plataforma. Damos la bienvenida a la investigación de seguridad que nos ayude a identificar y resolver vulnerabilidades de manera responsable. Esta política describe cómo reportar vulnerabilidades, qué esperar de nuestra respuesta y las protecciones que ofrecemos a investigadores que actúen de buena fe.

Los siguientes sistemas y servicios están dentro del alcance de los reportes de vulnerabilidades: • https://diezx.ai (sitio de marketing) • https://app.diezx.ai (plataforma DiezX) • https://agents.diezx.ai (API backend de DiezX) • Cualquier subdominio de diezx.ai operado por diezX Fuera del alcance: • Servicios de terceros que utilizamos (Google Cloud, MongoDB, Anthropic, Resend, Twilio, Mixpanel, PostHog, Cloudinary, GitHub) — reportar directamente al proveedor • Ataques de ingeniería social contra empleados o clientes de diezX • Ataques físicos contra diezX o cualquier instalación de terceros • Ataques de denegación de servicio (DoS / DDoS) • Spam, intentos de fuerza bruta a gran escala o pruebas que afecten materialmente la disponibilidad del servicio • Hallazgos derivados de información ya pública (p. ej., enumeración de subdominios sin una vulnerabilidad real)

Envíe un email a security@diezx.ai con: • Una descripción clara de la vulnerabilidad y su posible impacto • Pasos para reproducir el problema, incluyendo código de prueba de concepto, capturas de pantalla o capturas de solicitudes/respuestas HTTP • Su nombre o alias (para crédito, si lo desea) y un canal de contacto • Opcional: su clave pública PGP para seguimiento encriptado Confirmamos la recepción de cada reporte de buena fe dentro de los 2 días hábiles.

Nos comprometemos a los siguientes tiempos de respuesta, medidos desde el momento en que un reporte pasa el triage inicial: • Severidad crítica (p. ej., ejecución remota de código, acceso no autenticado a datos del cliente, exposición de secretos): confirmación ≤ 24 horas, fix o mitigación ≤ 7 días • Severidad alta (p. ej., escalación de privilegios horizontal autenticada, exposición de datos sensibles con precondiciones específicas): confirmación ≤ 2 días hábiles, fix ≤ 30 días • Severidad media: confirmación ≤ 5 días hábiles, fix ≤ 90 días • Severidad baja: confirmación ≤ 10 días hábiles, fix programado en la próxima release razonable Le mantendremos informado del progreso en hitos significativos (triaged, fix en progreso, fix desplegado) y le notificaremos cuando el problema esté resuelto.

diezX no iniciará acciones legales, presentará denuncias ante las autoridades ni tomará otras acciones adversas contra investigadores de seguridad que: • Hagan un esfuerzo de buena fe para seguir esta política • Accedan únicamente a los datos y sistemas necesarios para demostrar la vulnerabilidad • No modifiquen, retengan, extraigan o destruyan datos de clientes • No afecten la capacidad de otros usuarios de utilizar el servicio • Nos den un tiempo razonable para remediar antes de la divulgación pública Si un tercero inicia acciones legales contra usted en relación con investigación realizada bajo esta política, diezX hará saber a ese tercero que la investigación estaba autorizada.

Seguimos los principios de divulgación coordinada. Después de que se reporte una vulnerabilidad: • Trabajaremos con usted para entender y validar el problema • Nos comprometemos a remediar las vulnerabilidades confirmadas dentro de los plazos arriba indicados • La divulgación pública debe coordinarse con nosotros. Pedimos a los investigadores que esperen hasta que el problema esté resuelto (o, como mínimo, 90 días desde el triage) antes de divulgar públicamente • Reconoceremos a los reportantes que deseen ser reconocidos en nuestros agradecimientos de seguridad, salvo que soliciten anonimato

diezX actualmente no opera un programa de bug bounty pagado. Reconocemos que el tiempo del reportante tiene valor y buscamos agradecer y dar crédito a todos los que nos ayuden a mejorar la seguridad mediante divulgación responsable. Esperamos lanzar un programa formal en el futuro; hasta entonces, nuestro compromiso es la colaboración rápida, transparente y respetuosa.

Reportes de seguridad: security@diezx.ai Huella PGP para comunicación encriptada: publicada en https://diezx.ai/.well-known/security.txt (clave disponible a pedido). Para asuntos no relacionados con seguridad, use hello@diezx.ai (general) o privacy@diezx.ai (privacidad de datos / OAuth).