Seguridad y Responsible Disclosure
Nos tomamos en serio la seguridad de la plataforma. Si encuentras una vulnerabilidad, repórtala de forma responsable para que podamos verificarla, corregirla y proteger a los usuarios.
1) Contacto de seguridad
- Email de seguridad: security@catalo.id
- Para billing/refund/problemas de acceso que no sean de seguridad, usa Contacto o email support@catalo.id .
2) Cómo reportar una vulnerabilidad
Envía un email al contacto de seguridad e incluye suficiente detalle para que podamos reproducir y validar el problema.
- URL/función afectada y pasos de reproducción paso a paso.
- Impacto: ¿qué podría hacer un attacker?
- Proof-of-concept seguro y no destructivo, si existe.
- Contacto que prefieres para seguimiento.
3) Nuestra respuesta
- Buscamos confirmar recepción del reporte en 3 días hábiles.
- El triage y evaluación de severidad normalmente se hacen en 7 días hábiles según la complejidad.
- Podemos pedir detalles adicionales para validar el reporte.
- Las correcciones se publican según severidad y riesgo.
4) Guía de responsible disclosure
Para proteger a usuarios y plataforma, sigue esta guía durante pruebas y disclosure.
- Testing no destructivo con exposición mínima de datos.
- Reporte privado al contacto de seguridad.
- Pasos de reproducción y evidencia clara.
- Acceder, modificar o eliminar datos que no te pertenecen.
- Interrumpir el servicio con DDoS, load testing, spam o brute force.
- Social engineering, phishing o extorsión.
5) Alcance
El alcance incluye propiedades web y servicios que operan en el dominio catalo.id.
Si dudas si un objetivo está dentro del scope, pregunta primero por email de seguridad.
6) security.txt
Publicamos un archivo estándar de contacto de seguridad, security.txt, para facilitar los reportes.
7) Contacto
Seguridad: security@catalo.id · Soporte: support@catalo.id