Legal

Política de seguridad

Última actualización:

La seguridad es una prioridad. Si descubres una vulnerabilidad en KubeBolt o en kubebolt.io, queremos saberlo. Esta página describe cómo reportarla de forma responsable y qué puedes esperar de nosotros.

1. Cómo reportar

Envía los detalles a hello@kubebolt.io con el asunto [security]. Incluye:

  • Una descripción del problema y su impacto potencial.
  • Pasos para reproducirlo (URLs, payloads, condiciones).
  • Versión afectada (si aplica al producto open-source).
  • Tu nombre o handle (opcional, si quieres atribución pública tras la corrección).

Te pediremos que no divulgues públicamente el problema hasta que hayamos tenido tiempo razonable para corregirlo.

2. Plazos de respuesta

Nuestro compromiso:

  • Acuse de recibo: dentro de 72 horas hábiles.
  • Triage inicial y validación: dentro de 7 días.
  • Plazo para parchear: proporcional a la severidad. Crítico ≤ 14 días, alto ≤ 30 días, medio ≤ 90 días.
  • Divulgación coordinada: acordamos contigo una fecha de publicación tras el parche, hasta 90 días desde el reporte.

3. Alcance

Está dentro del alcance:

  • kubebolt.io (este sitio de marketing) y todos sus subdominios.
  • El repositorio open-source github.com/clm-cloud-solutions/kubebolt y los binarios oficiales (Helm, Docker, GHCR, Homebrew).
  • Las APIs públicas del sitio (por ejemplo, el endpoint de waitlist).

4. Fuera de alcance

No consideramos vulnerabilidades:

  • Ataques de denegación de servicio (DoS) o que requieran volumen anormal de tráfico.
  • Issues de configuración del cliente fuera de nuestro control (DNS, ISP, navegador).
  • Configuraciones SPF/DMARC laxas en dominios que no enviamos correo.
  • Banners de versión en respuestas HTTP.
  • Reportes obtenidos exclusivamente por escaneos automáticos sin demostrar impacto.
  • Vulnerabilidades en dependencias de terceros que ya tienen CVE público y release pendiente upstream.
  • Ingeniería social, phishing al equipo o intrusión física.

5. Reglas para investigar

Cuando investigues vulnerabilidades, por favor:

  • No accedas a datos de otros usuarios. Si encuentras una forma, demuéstralo con tu propio test data y avísanos de inmediato.
  • No degrades ni interrumpas el servicio. Sin pruebas de carga, sin deletes en masa, sin rate-limit hammering.
  • No exfiltres ni divulgues datos privados que hayas accedido accidentalmente; bórralos y notifícanos.
  • Cumple la legislación aplicable.

Si actúas de buena fe siguiendo estas reglas, no emprenderemos acciones legales contra ti por el reporte ni colaboraremos con autoridades para perseguirte (safe harbor).

6. Reconocimiento

Tras corregir el problema, podemos reconocerte públicamente en las notas de la versión y en una página de agradecimientos, si tú quieres. De momento no ofrecemos un programa de bug-bounty con recompensa económica; lo evaluaremos cuando crezca la base de usuarios.

7. Cifrado

Si prefieres cifrar el reporte con PGP, escríbenos primero solicitando nuestra clave pública actual. Estamos trabajando en publicar una clave estable en una próxima iteración.

8. Contacto

hello@kubebolt.io · asunto [security]