saltar al contenido principal

Centro de confianza

Política de divulgación de vulnerabilidades

Traducido para tu comodidad. La versión en inglés es la legalmente vinculante.

Agradecemos la investigación de seguridad de buena fe. Si crees haber encontrado una vulnerabilidad en Syncanix, queremos saberlo: rápido, directamente y antes que nadie.

Cómo informar

Envía una descripción del problema a admin@syncanix.com.

  • Pasos para reproducirlo, o una prueba de concepto: lo suficiente para que podamos confirmarlo.
  • Tu evaluación del impacto: a qué datos o acciones podría llegar un atacante.
  • La superficie afectada: sitio, panel, API, widget, servidor MCP o CLI.

Nuestros compromisos

  • Acuse de recibo en un máximo de 3 días laborables desde tu informe.
  • Clasificación y evaluación inicial de gravedad en un máximo de 7 días.
  • Una actualización de estado al menos cada 14 días hasta la resolución.
  • Crédito público por el hallazgo si lo deseas — o anonimato total si lo prefieres.

Hoy no tenemos un programa de recompensas de pago. Si eso cambia, esta página y nuestro security.txt lo dirán primero.

Salvaguarda de buena fe

No emprenderemos ni apoyaremos acciones legales contra la investigación realizada de buena fe y dentro de estas reglas:

  • No accedas, modifiques ni retengas datos que no sean tuyos; si encuentras datos de otra persona, detente e informa.
  • No degrades el servicio para los demás: nada de pruebas volumétricas contra infraestructura compartida.
  • Prueba solo con cuentas y tenants que poseas o hayas creado para ese fin.

Alcance

Dentro del alcance: syncanix.com, app.syncanix.com, api.syncanix.com, cdn.syncanix.com (el widget integrable), la superficie MCP por tenant y la CLI de syncanix.

Fuera del alcance:

  • Hallazgos de denegación de servicio o volumétricos.
  • Ingeniería social, phishing o ataques físicos contra personas.
  • Vulnerabilidades en servicios de terceros que usamos: repórtalas al proveedor (los listamos en nuestra página de subencargados).
  • Resultados de escáneres automáticos sin un impacto demostrado y reproducible.

Divulgación coordinada

Concédenos 90 días desde tu informe (o un plazo que acordemos juntos) antes de cualquier divulgación pública, para que la corrección llegue antes a todos los tenants. Coordinamos la publicación con gusto y no nos sentaremos sobre un problema confirmado.

Versión legible por máquinas: /.well-known/security.txt