Saltar al contenido principal
Passwork LogoPasswork LogoGuías técnicas
search
search

Política de divulgación responsable

Se aplica a: Passwork Cloud, Passwork On-Premise, extensiones de navegador, aplicaciones móviles, API y documentación.

La seguridad es importante para nosotros. Si ha encontrado algo que podría afectar la seguridad de Passwork o los datos de nuestros usuarios, queremos saberlo. Esta política explica cómo reportar vulnerabilidades de manera responsable y qué puede esperar de nosotros a cambio.

Lo que prometemos

Cuando reporta una vulnerabilidad siguiendo estas directrices:

  • Responderemos rápidamente. Recibirá una respuesta de nuestra parte dentro de 5 días hábiles, generalmente antes.
  • Le mantendremos informado. Le actualizaremos sobre nuestro progreso y trabajaremos con usted en el momento de la divulgación.
  • Sin problemas legales. Si actúa de buena fe y sigue esta política, no tomaremos acciones legales contra usted. Punto.

Dentro del alcance

Siéntase libre de probar estos:

  • Passwork Cloud (instancia pública)
  • Passwork On-Premise (su propia instalación con licencia)
  • Extensiones de navegador
  • Aplicaciones móviles
  • API y cliente web
  • Documentación y sitios web públicos
tip

¿No está seguro de si algo es válido? Escríbanos a [email protected] antes de comenzar.

Reglas básicas

Algunas cosas están fuera de los límites para mantener seguros a nuestros usuarios:

  • No toque datos reales de usuarios. No acceda, modifique ni elimine la información de nadie más.
  • Sin ataques DoS. Ataques de volumen, escaneo agresivo o cualquier cosa que degrade el rendimiento del servicio.
  • Sin ingeniería social. No realice phishing a nuestros empleados o clientes.
  • Sin ataques físicos. Nuestra infraestructura, oficinas y equipos están fuera de los límites.
  • Tenga cuidado con los escáneres automatizados. Pueden causar problemas para Passwork Cloud, así que evítelos allí.
  • Minimice el impacto. Solo llegue hasta donde sea necesario para demostrar que la vulnerabilidad existe.

Cómo reportar

Envíe su informe a [email protected]

Por favor incluya:

  • Qué encontró y cómo funciona
  • Pasos para reproducirlo
  • Su evaluación del impacto potencial
  • Prueba de concepto (capturas de pantalla, video, código)
  • Su dirección IP (nos ayuda a verificar nuestros registros)
  • Cómo desea ser acreditado (si lo desea)

Aceptamos informes en inglés.

El proceso

  1. Usted nos envía los detalles
  2. Confirmamos la recepción (dentro de 5 días hábiles)
  3. Validamos e investigamos el problema
  4. Desarrollamos una solución
  5. Le informamos cuando se ha resuelto
  6. Coordinamos la divulgación pública (típicamente 30-90 días después de la solución)

Lo que estamos buscando

  • Elusión de autenticación o secuestro de sesiones
  • Elusión de cifrado (del lado del cliente o del servidor)
  • Escalada de privilegios
  • Problemas de autorización de API
  • Vulnerabilidades de ejecución de código
  • Inyección SQL/NoSQL
  • XSS, CSRF, SSRF
  • RCE en instalaciones on-premise
  • Divulgación de información sensible
  • Fallos lógicos que comprometan la seguridad
  • Controles de acceso deficientes
  • Exposición de contraseñas o TOTP

Fuera del alcance

Nos enfocamos en vulnerabilidades reales y explotables que podrían afectar a nuestros usuarios. Las recomendaciones de seguridad son bienvenidas, pero no se tratan como vulnerabilidades a menos que pueda demostrar cómo conducen a un problema concreto.

Por favor no reporte estos:

  • Problemas de configuración de correo electrónico (SPF/DKIM/DMARC)
  • Encabezados de seguridad faltantes sin un exploit funcional
  • Limitación de velocidad sin riesgo demostrado
  • Clickjacking en páginas no sensibles
  • Mejores prácticas generales de seguridad o recomendaciones
  • Dependencias desactualizadas o paquetes vulnerables a menos que pueda demostrar la explotación real en Passwork
  • Problemas que requieren acceso físico o root a dispositivos de usuario

Puerto seguro

nota

Si sigue esta política y actúa de buena fe, su investigación de seguridad está autorizada. No emprenderemos acciones legales y trabajaremos para minimizar las reclamaciones legales de terceros.

Esta protección no cubre acciones que:

  • Perjudiquen a los usuarios o accedan a sus datos
  • Interrumpan nuestros servicios
  • Infrinjan leyes más allá de las pruebas legítimas de seguridad

Reconocimiento

Mantenemos un Salón de la Fama para los investigadores que han ayudado a mejorar la seguridad de Passwork. Indíquenos en su informe si desea ser incluido.

Contacto

Última actualización: diciembre 2025

© 2017–2026 «Passwork»
Empresa
Sobre nosotrosPolítica de privacidadCertificado ISO 27001Notas de la versiónHoja de rutaBlog
Extensión de navegador
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Aplicación móvil
App StoreGoogle Play
Para empresas
EquiposPequeñas empresasEmpresas y corporacionesEnterpriseSolución on-premiseHerramienta para compartir contraseñasGestión de secretos
Ayuda
Manual de usuarioDocumentación técnicaCentro de ayuda