🔒 Reporte responsable de vulnerabilidades
Si encontraste un fallo de seguridad en Structura Pro, gracias por reportarlo. Este documento explica qué está en scope, cómo reportar y qué recibes a cambio. Nuestro compromiso: acuse de recibo en 48 horas hábiles y no perseguir legalmente a investigadores que actúen en buena fe conforme al safe harbor CVD.
📧 Reportar por correo1. Alcance
✅ In-scope
app.structura.build— SPA + assets estáticosstructura.build— landing + páginas legales- Edge Functions de Supabase de nuestra propiedad
- Base de datos Postgres (RLS, RPCs, funciones)
- Cloudflare Pages / Workers propios de LC2P
- Correo transaccional (Resend template injection)
🚫 Out-of-scope
- Ingeniería social a founder, contadores, abogados o clientes
- Ataques físicos / accesos físicos a infra
- DoS / DDoS volumétrico (Cloudflare lo maneja)
- Testing en producción sin coordinación previa
- Vulnerabilidades de terceros (Supabase, Cloudflare, Anthropic) — reportarlas directamente al proveedor
- Contenido user-generated de otros usuarios (excepto XSS explotable)
2. Cómo reportar
Envía un correo a soporte@structura.build con asunto [SECURITY] incluyendo:
- Descripción breve del hallazgo (1-2 líneas).
- Producto afectado (app, landing, edge function específica).
- Pasos para reproducir, con URLs de prueba y payloads si aplica.
- Impacto observado — qué podría hacer un atacante con esto.
- Evidencia: logs, screenshots, PoC (mantén el ámbito mínimo posible).
- Tu identidad — nombre o handle (opcional, para hall of fame + reward futuro).
- Preferencias de divulgación — timing con el que quieres que hagamos público el fix.
Si prefieres cifrar, usa la clave PGP publicada en keys.openpgp.org (en preparación al 4 de julio de 2026). Puedes también contactarnos por WhatsApp +57 320 482 9370 con el mismo asunto.
3. Nuestros compromisos
| Paso | Plazo | Qué pasa |
|---|---|---|
| Acuse de recibo | 48 h hábiles | Confirmamos que recibimos tu reporte y asignamos un ID interno. |
| Triaje inicial | 7 días hábiles | Clasificamos severidad (P0/P1/P2/P3) y confirmamos si es reproducible. |
| Fix desplegado | P0: 24-72 h · P1: 14 días · P2: 30 días · P3: 90 días | Prioridad según severidad. Notificamos al reportador antes de publicar. |
| Divulgación pública | Post-fix + 30 días (típico CVD 90 d) | Coordinamos la publicación contigo. Reconocemos tu trabajo en el hall of fame. |
Si el fix requiere más tiempo (dependencia de terceros, refactor mayor), te avisamos y ajustamos la ventana de divulgación con acuerdo mutuo.
4. Safe harbor · protección legal
Nos comprometemos a no perseguir legalmente a investigadores que actúen en buena fe conforme a estos lineamientos. Consideramos actuar en buena fe cuando:
- Reportas la vulnerabilidad a
soporte@structura.buildantes de divulgarla públicamente. - Evitas acceder, modificar o destruir datos de otros usuarios más allá de lo estrictamente necesario para demostrar el hallazgo.
- No usas la vulnerabilidad para beneficio propio o de terceros.
- No violas leyes aplicables ni acuerdos con terceros (por ejemplo, Anthropic Acceptable Use Policy).
- Nos das un plazo razonable para publicar un fix antes de divulgación pública (default: 90 días).
Este safe harbor se alinea con el marco Coordinated Vulnerability Disclosure (CVD) del FIRST y la política de Dropbox / Google / GitHub para reportadores externos. Si tienes duda sobre si tu prueba está dentro del safe harbor, escríbenos antes.
5. Reconocimiento y recompensas
Al 4 de julio de 2026 no tenemos programa formal de bug bounty con recompensas económicas fijas. Structura Pro opera pre-revenue y no puede comprometer pagos hoy. Sin embargo:
- Hall of fame público en esta página cuando el volumen lo justifique (mínimo 3 reportes válidos acumulados).
- Reconocimiento en release notes del fix (con tu consentimiento).
- Créditos de plan gratis para reportes válidos: P0 = 12 meses Corporate · P1 = 6 meses Empresa · P2 = 3 meses Pro · P3 = 1 mes Plus.
- Recompensa económica se activará en Fase 2 (post-SAS Cúcuta) con presupuesto asignado. Rangos indicativos futuros: P0 USD $500–2000 · P1 USD $200–800 · P2 USD $50–200 · P3 mención honorífica.
- Merchandising físico (llavero + camiseta) al primer reporte P0/P1 válido en la fase pre-revenue.
6. Áreas donde más nos interesan reportes
Priorizamos los reportes que ataquen estas superficies:
- Bypass de RLS Postgres — leer o escribir datos de otra organización.
- SSRF / RCE en edge functions — nuestras funciones Deno son la superficie crítica.
- Escalación de privilegios — pasar de
freeacorporatesin pagar; pasar devisualizadoraadminen una org. - Manipulación del ledger de créditos IA — inflar el pool artificialmente.
- IDOR (Insecure Direct Object References) — acceder a URLs por ID sin autorización.
- XSS almacenado — persistente en bitácora, actas, hallazgos, chat Stru-IA.
- Path traversal en Supabase Storage — leer archivos de otros tenants.
- Bypass del clickwrap — crear cuenta sin aceptar T&C (registrar en
user_consents).
7. Hall of Fame
Aún sin entradas. Sé el primero.
8. Contacto
- Correo: soporte@structura.build · asunto
[SECURITY] - WhatsApp: +57 320 482 9370
- PGP: en preparación (agosto 2026)
- Página protocolo interno: Protocolo de Respuesta a Incidentes v1.0 (documento interno, disponible bajo NDA para clientes Corporate).
Última actualización: 4 de julio de 2026 · Versión 1.0 · Ver también subprocesadores · status · privacidad