Divulgación responsable

La seguridad de nuestros sistemas y de los datos que se nos confían es nuestra máxima prioridad. A pesar de todo el cuidado, las vulnerabilidades nunca pueden descartarse por completo. Si descubre una vulnerabilidad de seguridad en uno de nuestros sistemas, le pedimos que nos la comunique de forma responsable antes de divulgarla públicamente. A cambio, tratamos su aviso de forma confidencial y no emprendemos acciones legales contra los investigadores de seguridad que actúan de buena fe conforme a esta política.

Ámbito de aplicación

Esta política se aplica a los sistemas de acceso público operados por Reepa Solutions:

• reepasolutions.de y todos los subdominios
• El portal de cliente y sus API asociadas
• El software y las aplicaciones que publicamos

Fuera del ámbito

Le rogamos que se abstenga de las siguientes actividades — no están expresamente cubiertas por esta política:

• Denegación de servicio (DoS/DDoS) u otras pruebas que afecten a la disponibilidad
• Ingeniería social, phishing contra empleados o clientes
• Acceso físico a dispositivos o instalaciones
• Escaneo masivo automatizado que sobrecargue notablemente nuestros sistemas
• Vulnerabilidades en servicios de terceros (comuníquelas directamente al proveedor correspondiente)
• Hallazgos puramente teóricos sin impacto demostrable (p. ej. cabeceras ausentes sin un vector de ataque concreto)

Cómo comunicar una vulnerabilidad

Envíe su aviso a info@reepasolutions.de con el asunto «Security Disclosure». También encontrará información de contacto legible por máquina en nuestro security.txt (según el RFC 9116).

Un aviso útil contiene idealmente:

• Una descripción de la vulnerabilidad y del componente afectado (URL/endpoint)
• Pasos reproducibles para reproducirla (prueba de concepto)
• Una valoración del posible impacto
• Sus datos de contacto para consultas

Nuestro compromiso (Safe Harbor)

Si actúa de buena fe conforme a esta política, nos comprometemos a lo siguiente:

• Confirmar la recepción de su aviso en un plazo de 3 días hábiles.
• Mantenerle informado sobre el estado de tramitación y la corrección.
• Tratar su aviso y su identidad de forma confidencial y no divulgarlos sin su consentimiento.
• No emprender acciones legales contra usted ni presentar denuncia, siempre que respete las reglas indicadas a continuación.

Lo que le pedimos

• Concédanos un plazo razonable para corregir antes de publicar detalles (orientativo: 90 días).
• Acceda solo a la cantidad de datos necesaria para demostrar la vulnerabilidad — y no más.
• No modifique, elimine ni publique datos ajenos, y no perturbe el funcionamiento.
• No vulnere la privacidad ni infrinja la legislación vigente.
• Elimine los datos obtenidos durante la investigación una vez concluido el aviso.

Recompensa

Reepa Solutions no opera actualmente un programa formal de bug bounty con recompensas económicas. No obstante, le agradecemos expresamente cada aviso responsable y, si lo desea, le mencionamos con gusto en un agradecimiento público.

Para más información sobre cómo tratamos los datos y la seguridad, consulte nuestro Centro de confianza.

Última actualización: junio de 2026