Ir al contenido

Política de Seguridad

Última actualización: 2026-05-21.

1. Ámbito

La presente Política explica cómo notificar problemas de seguridad que afecten a FreedivingHome (freedivinghome.com) y resume las categorías de medidas de seguridad que protegen el Servicio.

Para los detalles relativos al tratamiento de datos personales, consúltese la Política de Privacidad. Para las obligaciones del Usuario en materia de seguridad de la cuenta, consúltese los Términos del Servicio, Sección 5.

La presente Política no concede autorización para realizar pruebas fuera del alcance definido a continuación.

2. Notificación de una vulnerabilidad

Contacto: [email protected]

Se ruega anteponer en el asunto del mensaje el prefijo [SECURITY].

Qué incluir

Por favor, incluya:

  • una descripción clara del problema y de su impacto potencial;
  • los pasos necesarios para reproducirlo, incluidas las condiciones previas;
  • una prueba de concepto (proof of concept) mínima, cuando proceda;
  • la URL, el endpoint, la funcionalidad o el flujo de usuario afectados;
  • si se han encontrado datos personales, datos de terceros o interrupción del Servicio;
  • sus datos de contacto y, opcionalmente, el nombre o seudónimo que desee que se utilice para el reconocimiento.

No incluya datos personales innecesarios, secretos, credenciales, extractos de bases de datos, capturas de pantalla con datos de otros usuarios ni material de explotación que exceda lo estrictamente necesario para demostrar el problema.

Notificaciones sensibles

Si su notificación contiene datos sensibles, indíquelo en su primer mensaje; se facilitará un canal de comunicación seguro cuando esté disponible.

No publique detalles de explotación, código de prueba de concepto ni datos de terceros antes de que se haya completado la divulgación coordinada.

Objetivos de respuesta

Nuestros objetivos son:

  • acuse de recibo de las nuevas notificaciones en un plazo de 5 días hábiles;
  • evaluación inicial en un plazo de 20 días hábiles;
  • mantener al informante al corriente del progreso sustancial cuando sea practicable.

Estos plazos constituyen objetivos de respuesta, no niveles de servicio garantizados. Los plazos de remediación dependen de la gravedad, la explotabilidad, el impacto, las mitigaciones disponibles y las limitaciones operativas.

Divulgación coordinada

Le pedimos que nos conceda una oportunidad razonable para investigar y remediar antes de la divulgación pública.

Nuestra ventana de coordinación predeterminada es de 90 días naturales desde nuestra confirmación de que una notificación describe una vulnerabilidad válida, salvo que:

  • acordemos un calendario distinto con el informante;
  • se requiera una divulgación anticipada para proteger a los usuarios o al público;
  • el problema esté siendo activamente explotado o divulgado públicamente;
  • obligaciones legales o regulatorias exijan un enfoque diferente.

Cuando proceda, el contenido de la divulgación se coordinará con el informante, al que se atribuirá el crédito con su consentimiento.

3. Protección de la investigación de buena fe (safe harbour)

Se da la bienvenida a la investigación de seguridad realizada de buena fe.

Si cumple con la presente Política y mantiene sus pruebas dentro del alcance definido en la Sección 4, sus pruebas serán tratadas como autorizadas a los efectos de nuestros sistemas y no se iniciarán acciones civiles ni denuncias penales en su contra por dichas pruebas.

Este compromiso pretende reducir la incertidumbre jurídica para la investigación de buena fe, incluida la relativa al derecho italiano sobre acceso no autorizado a sistemas informáticos. No vincula a terceros y no impide actuaciones exigidas por la ley.

Para beneficiarse de este compromiso, el informante debe:

  • actuar de buena fe y evitar perjuicios al Servicio, a sus usuarios y a terceros;
  • probar únicamente los sistemas y funcionalidades incluidos en el alcance;
  • utilizar únicamente cuentas de su titularidad o para las que disponga de autorización explícita;
  • acceder, visualizar o almacenar únicamente la información estrictamente necesaria para demostrar el problema;
  • detener las pruebas y notificarlo de inmediato si encuentra datos personales, secretos, credenciales o datos pertenecientes a otros usuarios;
  • no conservar, copiar, divulgar, modificar, eliminar, corromper ni exfiltrar datos;
  • no interrumpir ni degradar el Servicio;
  • no intentar ataques de denegación de servicio, saturación de tráfico, pruebas destructivas, persistencia, despliegue de malware o movimiento lateral;
  • no recurrir a ingeniería social, phishing, coacción, soborno, suplantación o intrusión física;
  • no dirigirse a usuarios, personal, contratistas, proveedores o prestadores de terceros;
  • cumplir con la legislación italiana, de la UE y local aplicable.

Las actividades fuera de la presente Política no están autorizadas.

4. Alcance de las pruebas

Dentro del alcance

Se encuentran dentro del alcance:

  • el servicio público FreedivingHome en freedivinghome.com;
  • los subdominios expresamente indicados como dentro del alcance en el archivo security.txt publicado, si los hubiera;
  • los problemas de autenticación, autorización, sesión y control de acceso;
  • la gestión del lado del servidor de las entradas, las salidas y las cargas de archivos;
  • las vulnerabilidades de la capa de aplicación con impacto demostrado, incluidos los fallos de control de acceso, los fallos de inyección, XSS, CSRF, SSRF, referencias directas a objetos inseguras (IDOR) y fallos de lógica de negocio.

Fuera del alcance

Se encuentran fuera del alcance:

  • las pruebas de denegación de servicio, estrés, carga o volumétricas;
  • la intrusión física o a nivel de red;
  • la ingeniería social, el phishing o la persecución de usuarios, personal, contratistas o terceros;
  • las pruebas sobre servicios, infraestructuras, proveedores o plataformas de terceros;
  • los problemas que afecten únicamente a navegadores no soportados, dispositivos con root o jailbreak o redes hostiles controladas por el comprobador;
  • las notificaciones basadas únicamente en la salida de escáneres automatizados sin impacto demostrado;
  • self-XSS sin una ruta de ataque realista;
  • cabeceras de seguridad ausentes o subóptimas sin ruta de explotación demostrada;
  • clickjacking o framing sin acción sensible o impacto demostrado;
  • observaciones sobre rate limits sin un escenario de abuso demostrado;
  • afirmaciones de enumeración de usuarios sin impacto demostrado en seguridad o privacidad;
  • problemas de autenticación de correo en dominios no utilizados para el envío de correo;
  • vulnerabilidades de terceros recientemente divulgadas que ya estén en revisión o remediación;
  • problemas teóricos sin impacto práctico sobre FreedivingHome o sus usuarios.

En caso de duda sobre la pertenencia al alcance, pregunte previamente.

5. Postura de seguridad

Las medidas a continuación se resumen a alto nivel. Los detalles concretos de implementación se omiten intencionadamente de la presente página pública.

Autenticación y accesos

  • Las contraseñas se almacenan mediante una función de hashing con sal, seleccionada y configurada para resistir ataques fuera de línea.
  • La verificación de la dirección de correo electrónico es necesaria para la activación de la cuenta.
  • Pueden ponerse a disposición funcionalidades adicionales de protección de la cuenta cuando estén soportadas.
  • La autenticación y otras acciones sensibles están protegidas mediante límites de frecuencia y controles antiabuso.
  • El acceso a los sistemas de producción está restringido a operadores autorizados, protegido por credenciales individuales y controles de autenticación adicionales.
  • El acceso privilegiado se limita a lo necesario para la operación, mantenimiento, seguridad y respuesta a incidentes.

Transporte y almacenamiento

  • El tráfico hacia el Servicio se sirve mediante TLS.
  • Las solicitudes HTTP en texto plano son redirigidas a HTTPS.
  • Los datos confidenciales y las copias de seguridad están protegidos en reposo.
  • Los secretos se mantienen fuera del control de versiones y se rotan cuando procede.

Seguridad aplicativa

  • La aplicación utiliza validación de entradas, codificación de salidas, validación de solicitudes y patrones seguros de acceso a datos.
  • Los archivos cargados se someten a análisis automatizado antimalware antes de ponerse a disposición.
  • Una Content-Security-Policy y cabeceras adicionales de seguridad de navegador se configuran para reducir las rutas de ataque comunes.
  • Las dependencias y los componentes de la plataforma son objeto de seguimiento frente a avisos de seguridad y se actualizan en función del riesgo.

Registro y supervisión

  • Los eventos operativos y de seguridad se registran para sostener la detección de abusos, la resolución de problemas y la investigación de incidentes.
  • Los registros se limitan a lo necesario para tales finalidades.
  • El acceso a los registros está restringido a operadores autorizados.

Copias de seguridad y recuperación

  • Las copias de seguridad están cifradas y se gestionan de forma separada de los accesos de producción.
  • El acceso a las copias de seguridad está restringido a operadores autorizados.
  • Los procedimientos de recuperación están documentados y se prueban periódicamente en modalidad no productiva cuando es practicable.

Respuesta a incidentes

  • Los incidentes de seguridad se gestionan conforme a un proceso interno que abarca triaje, contención, preservación de pruebas, remediación, comunicación y recuperación.
  • Cuando se alcancen los umbrales legales, las notificaciones a los reguladores o a los usuarios afectados se efectuarán de conformidad con la legislación aplicable, incluidos los artículos 33 y 34 del RGPD cuando sea pertinente.

6. Reconocimientos

Con su consentimiento, se podrá publicar el nombre o seudónimo de los investigadores que divulguen de manera responsable vulnerabilidades válidas, previamente desconocidas y accionables.

El reconocimiento es discrecional y puede ser denegado cuando una notificación sea abusiva, duplicada, fuera del alcance, ilícita o no conforme a la presente Política.

Actualmente no se opera un programa de bug bounty remunerado. No se ofrece recompensa monetaria salvo acuerdo expreso y por escrito previo a las pruebas.

7. Información legible por máquina

Se publica un archivo security.txt legible por máquina en: https://freedivinghome.com/.well-known/security.txt

El archivo se sirve a través de transporte cifrado y se mantiene actualizado. Incluye, como mínimo, la información de contacto y de política pertinentes, y puede incluir campos adicionales tales como la ubicación canónica, la fecha de expiración, el idioma preferido, el cifrado y los reconocimientos, cuando sea operativamente soportado.

En caso de incoherencia entre la presente página y el archivo security.txt, prevalecerá la presente página, salvo que la incoherencia se deba claramente a una desactualización de la misma.

8. Modificaciones de la presente Política

La presente Política podrá actualizarse para reflejar cambios legales, operativos o de seguridad.

Las actualizaciones materiales se datarán y resumirán en la presente página cuando sea practicable.

9. Contacto

[email protected]