Divulgación responsable

1. Alcance

Esta Política abarca los sistemas y dominios propiedad de IntelligenceX y operados por esta, incluidos intelligencex.org y nuestras plataformas de productos. No autoriza la realización de pruebas contra los sistemas de nuestros clientes ni de terceros. Las contrataciones con clientes se rigen siempre por un acuerdo independiente y firmado.

2. Cómo notificar

Envíe sus hallazgos por correo electrónico a incident@intelligencex.org. Le rogamos que incluya suficiente detalle para que podamos reproducir el problema, como la URL o el componente afectados, una descripción de la vulnerabilidad y pasos claros y no destructivos para reproducirla. Cuando sea posible, cifre los detalles sensibles y evite compartirlos con terceros.

3. Directrices para investigadores

• Haga un esfuerzo de buena fe para evitar violaciones de la privacidad, la destrucción de datos y la interrupción del servicio.
• Interactúe únicamente con cuentas de su propiedad o para las que tenga permiso explícito de prueba.
• No acceda, modifique ni exfiltre datos más allá de lo necesario para demostrar el problema.
• Concédanos un plazo razonable para investigar y subsanar antes de cualquier divulgación pública.

4. Fuera del alcance

• Ataques de denegación de servicio y pruebas volumétricas o de carga.
• Ingeniería social contra nuestro personal, clientes o proveedores.
• Ataques físicos contra nuestras oficinas o centros de datos.
• Informes de escáneres automatizados sin un impacto demostrado y explotable.

5. Nuestro compromiso

Nos esforzamos por acusar recibo de los informes válidos con prontitud, mantenerle informado sobre la subsanación y dar crédito a los investigadores que deseen ser reconocidos una vez resuelto un problema. Una versión legible por máquina de nuestro contacto de seguridad se publica en /.well-known/security.txt.

6. Contacto

Envíe informes de vulnerabilidades y cuestiones de seguridad a incident@intelligencex.org.