Politica de Divulgacion de Vulnerabilidades
Ultima actualizacion: 27 de marzo de 2026
Vigente desde el 27 de marzo de 2026
1. Introduccion
cepaos LLC opera una plataforma SaaS de gestion vitivinicola. Alentamos el reporte responsable de vulnerabilidades.
2. Alcance (In Scope)
- cepaos.com — sitio web publico
- app.cepaos.com — dashboard autenticado
- API publica
- Formularios publicos
- Flujos de autenticacion
3. Fuera de Alcance
- Infraestructura de terceros (Supabase, Cloudflare, dLocalGo, etc.)
- Ingenieria social
- Ataques DoS/DDoS
- Spam, phishing
- Reportes automatizados sin analisis manual
4. Como Reportar
Enviar a security@cepaos.com con: descripcion, pasos para reproducir, impacto potencial, evidencia y entorno.
5. Safe Harbor
cepaos no iniciara acciones legales contra investigadores de buena fe que actuen dentro del alcance definido.
6. Tiempos de Respuesta
| Etapa | Plazo |
|---|---|
| Acuse de recibo | 48 horas habiles |
| Evaluacion inicial | 5 dias habiles |
| Actualizaciones | Cada 15 dias |
7. Programa de Recompensas
cepaos no ofrece recompensas economicas (bug bounty) en esta etapa. Mantenemos un Hall of Fame publico.
8. Restriccion de Divulgacion Publica
90 dias calendario o confirmacion de fix desplegado, lo primero.
9. Contacto
- security@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Este documento no constituye asesoramiento legal.