🔒 Reporte responsable de vulnerabilidades

Si encontraste un fallo de seguridad en Structura Pro, gracias por reportarlo. Este documento explica qué está en scope, cómo reportar y qué recibes a cambio. Nuestro compromiso: acuse de recibo en 48 horas hábiles y no perseguir legalmente a investigadores que actúen en buena fe conforme al safe harbor CVD.

📧 Reportar por correo

Versión 1.0 · vigente desde 4 de julio de 2026 · security@structura.build alias en preparación · usar soporte@structura.build con asunto [SECURITY]

1. Alcance

✅ In-scope

  • app.structura.build — SPA + assets estáticos
  • structura.build — landing + páginas legales
  • Edge Functions de Supabase de nuestra propiedad
  • Base de datos Postgres (RLS, RPCs, funciones)
  • Cloudflare Pages / Workers propios de LC2P
  • Correo transaccional (Resend template injection)

🚫 Out-of-scope

  • Ingeniería social a founder, contadores, abogados o clientes
  • Ataques físicos / accesos físicos a infra
  • DoS / DDoS volumétrico (Cloudflare lo maneja)
  • Testing en producción sin coordinación previa
  • Vulnerabilidades de terceros (Supabase, Cloudflare, Anthropic) — reportarlas directamente al proveedor
  • Contenido user-generated de otros usuarios (excepto XSS explotable)

2. Cómo reportar

Envía un correo a soporte@structura.build con asunto [SECURITY] incluyendo:

Si prefieres cifrar, usa la clave PGP publicada en keys.openpgp.org (en preparación al 4 de julio de 2026). Puedes también contactarnos por WhatsApp +57 320 482 9370 con el mismo asunto.

3. Nuestros compromisos

PasoPlazoQué pasa
Acuse de recibo48 h hábilesConfirmamos que recibimos tu reporte y asignamos un ID interno.
Triaje inicial7 días hábilesClasificamos severidad (P0/P1/P2/P3) y confirmamos si es reproducible.
Fix desplegadoP0: 24-72 h · P1: 14 días · P2: 30 días · P3: 90 díasPrioridad según severidad. Notificamos al reportador antes de publicar.
Divulgación públicaPost-fix + 30 días (típico CVD 90 d)Coordinamos la publicación contigo. Reconocemos tu trabajo en el hall of fame.

Si el fix requiere más tiempo (dependencia de terceros, refactor mayor), te avisamos y ajustamos la ventana de divulgación con acuerdo mutuo.

4. Safe harbor · protección legal

Nos comprometemos a no perseguir legalmente a investigadores que actúen en buena fe conforme a estos lineamientos. Consideramos actuar en buena fe cuando:

Este safe harbor se alinea con el marco Coordinated Vulnerability Disclosure (CVD) del FIRST y la política de Dropbox / Google / GitHub para reportadores externos. Si tienes duda sobre si tu prueba está dentro del safe harbor, escríbenos antes.

5. Reconocimiento y recompensas

Al 4 de julio de 2026 no tenemos programa formal de bug bounty con recompensas económicas fijas. Structura Pro opera pre-revenue y no puede comprometer pagos hoy. Sin embargo:

6. Áreas donde más nos interesan reportes

Priorizamos los reportes que ataquen estas superficies:

7. Hall of Fame

Aún sin entradas. Sé el primero.

8. Contacto

Última actualización: 4 de julio de 2026 · Versión 1.0 · Ver también subprocesadores · status · privacidad