Seguretat

Política de Divulgació Responsable

Creiem en la divulgació responsable i valorem els esforços de la comunitat de recerca de seguretat.

El Nostre Compromís

H3X Security Labs està compromès a mantenir la seguretat i la privacitat dels nostres sistemes i de les dades dels nostres clients. Donem la benvinguda als informes de recercadors de seguretat i de la comunitat en general sobre possibles vulnerabilitats als nostres sistemes.

Abast

Aquesta política s'aplica als següents sistemes i serveis:

  • h3x.cat i tots els subdominis
  • Infraestructura de H3X Security Labs
  • Aplicacions i plataformes de cara al client
  • Endpoints d'API

Directrius

Quan investigueu vulnerabilitats, us demanem que:

  • Feu tot el possible per evitar violacions de privacitat, destrucció de dades i interrupció del servei
  • Només interactueu amb comptes que us pertanyen o amb permís explícit del titular del compte
  • No exploteu una vulnerabilitat de seguretat més enllà del necessari per demostrar-la
  • Doneu-nos un temps raonable per respondre al vostre informe abans de fer pública qualsevol informació sobre la vulnerabilitat
  • No utilitzeu escàners automàtics o eines que puguin afectar la disponibilitat del sistema

Com Informar

Si creieu que heu trobat una vulnerabilitat de seguretat, informeu-nos mitjançant:

  • Correu electrònic: security@h3x.cat (Clau PGP disponible sota petició)
  • Línia d'assumpte: "Informe de Vulnerabilitat de Seguretat - [Breu Descripció]"

Incloeu al Vostre Informe:

  • Descripció de la vulnerabilitat
  • Passos per reproduir el problema
  • Impacte potencial de la vulnerabilitat
  • Captures de pantalla rellevants, codi de prova de concepte o material de suport
  • La vostra informació de contacte per al seguiment

El Nostre Procés de Resposta

  1. Confirmació: Confirmarem la recepció del vostre informe en 48 hores
  2. Avaluació: El nostre equip de seguretat avaluarà la vulnerabilitat i determinarà la seva gravetat
  3. Comunicació: Us mantindrem informats sobre el nostre progrés en abordar el problema
  4. Resolució: Treballarem per solucionar les vulnerabilitats vàlides de manera oportuna
  5. Reconeixement: Amb el vostre permís, us acreditarem al nostre Hall of Fame

Port Segur

Considerem que les activitats de recerca de seguretat i divulgació de vulnerabilitats realitzades d'acord amb aquesta política constitueixen conducta "autoritzada" segons les lleis aplicables de frau i abús informàtic. No emprendrem accions civils ni iniciarem denúncies a les forces de l'ordre per violacions accidentals i de bona fe d'aquesta política.

Reconeixement

Agraïm els esforços dels recercadors de seguretat que ens ajuden a mantenir la nostra postura de seguretat. Els recercadors que informin de vulnerabilitats vàlides seran reconeguts al nostre Hall of Fame de Seguretat (amb el vostre permís) i poden ser elegibles per a recompenses segons la gravetat i l'impacte de la vulnerabilitat.

Fora d'Abast

El següent està explícitament exclòs d'aquest programa:

  • Atacs de denegació de servei (DoS/DDoS)
  • Atacs d'enginyeria social contra els nostres empleats o contractistes
  • Proves de seguretat física
  • Aplicacions o serveis de tercers no controlats directament per H3X
  • Vulnerabilitats en navegadors o plataformes obsoletes
  • Problemes que requereixen una interacció poc probable de l'usuari

Contacte

Per a preguntes sobre aquesta política, contacteu-nos a security@h3x.cat

Última Actualització: 30 de setembre de 2025