Seguridad y reportes responsables

Vellichor maneja documentos confidenciales — papers de investigación, contratos, historias clínicas, expedientes legales. La seguridad no es una feature para nosotros, es el cimiento. Si encontraste una vulnerabilidad, apreciamos tu ayuda para reportarla de forma responsable.

Esta página cubre específicamente a Vellichor. Para la política paraguas que cubre todas las apps e infraestructura de KhassinX, consulta khassinx.com/es/security.

Reportar

Email: [email protected]
Indicador machine-readable de disclosure: /.well-known/security.txt (RFC 9116)

Incluye: una descripción breve, pasos de reproducción, el impacto observado y cualquier herramienta o cuenta que hayas usado. No incluyas documentos confidenciales reales en tu reporte — PDFs sintéticos o de dominio público alcanzan para demostrar la mayoría de los issues.

Alcance

  • vellichor.khassinx.com (este sitio)
  • Las apps de Vellichor iOS / iPadOS / watchOS / macOS en la Apple App Store
  • El uso que hace Vellichor de la base privada de CloudKit para sync (el esquema y patrones de acceso, no la infraestructura CloudKit de Apple en sí)
  • El uso que hace Vellichor de los contenedores de iCloud Drive para almacenar PDFs (misma salvedad)

Fuera de alcance

  • Servicios de terceros (Apple App Store, Apple iCloud, Apple Intelligence Foundation Models) — repórtalo directamente a Apple en security.apple.com
  • Ataques volumétricos (DDoS, brute force) — no son vulnerabilidades
  • Reportes generados solo por scanners automatizados sin prueba reproducible de impacto
  • Issues teóricos sin un camino de ataque demostrable
  • Email spoofing en subdominios donde publicamos explícitamente SPF/DKIM/DMARC
  • Output de IA inexacto o "alucinado" que no constituye una vulnerabilidad de seguridad (consulta los Términos respecto a la precisión de la IA)

Tiempos de respuesta

  • Acuse de recibo: dentro de cinco días hábiles
  • Triage inicial: dentro de catorce días
  • Cronograma coordinado de disclosure: acordado caso por caso, típicamente noventa días para issues no críticos, acelerado para críticos

Safe harbor

No tomaremos acción legal contra investigadores actuando de buena fe — investigando, reportando y respetando nuestras reglas de alcance. Esto incluye investigadores que accedan solo a los datos necesarios para demostrar el issue, no exfiltren datos de usuarios y nos den tiempo razonable para remediar antes de la divulgación pública.

Reconocimiento

Actualmente no ofrecemos bug bounty monetario. Ofrecemos:

  • Reconocimiento público en esta página (con tu consentimiento, en la forma que prefieras)
  • Comunicación directa con el equipo de ingeniería que maneja el fix
  • Crédito formal en las release notes cuando el fix sale

Lo que te pedimos evitar

  • No accedas, modifiques ni elimines documentos de otros usuarios (no tenemos ninguno en un servidor, pero reproducir issues a nivel CloudKit con cuentas sintéticas está bien)
  • No realices tests que degraden la calidad del servicio para otros usuarios
  • No divulgues públicamente la vulnerabilidad antes de que tengamos una oportunidad razonable de arreglarla
  • No testees en cuentas de usuarios reales sin permiso explícito por escrito

Contacto

Reportes de seguridad: [email protected] (clave PGP disponible bajo pedido)
Contacto general: [email protected]