Política de divulgación responsable
Última actualización: 13/05/2026
Compromiso
Clear Fashion se compromete a gestionar los informes de vulnerabilidades de seguridad de manera transparente, rápida y respetuosa con los investigadores que nos ayudan a mejorar la seguridad de nuestros sistemas.
Alcance
En alcance
| Sistema | URL / Descripción |
|---|---|
| API Rails | api.clear-fashion.com |
| Portal de socios | portal.clear-fashion.com |
| App web B2C | app.clear-fashion.com (o equivalente) |
| App móvil | iOS / Android Clear Fashion |
| Widgets públicos | widget.clear-fashion.com |
Fuera de alcance
Los siguientes elementos están excluidos de esta política:
- Ataques de tipo DoS / DDoS
- Spam o ingeniería social (phishing, vishing)
- Ataques físicos contra nuestras instalaciones o equipos
- Vulnerabilidades en servicios de terceros no mantenidos por Clear Fashion (Heroku, Firebase…)
- Hallazgos automatizados de escáneres sin prueba de explotabilidad
- Ausencia de buenas prácticas sin impacto demostrable
Reglas de participación
Para ser elegible bajo esta política, el investigador debe:
- No acceder a datos que no le pertenezcan
- No modificar ni eliminar datos sin consentimiento explícito
- No perturbar los servicios en producción
- No divulgar públicamente la vulnerabilidad antes de que Clear Fashion haya podido corregirla
- Dar a Clear Fashion un plazo razonable para corregir la vulnerabilidad (véase plazos)
A cambio, Clear Fashion se compromete a no emprender acciones legales contra los investigadores que respeten estas reglas.
Cómo contactarnos
Email: security@clear-fashion.com
Cifrado: no disponemos de clave PGP en este momento. Si necesita cifrar su informe, contáctenos primero para acordar un canal seguro.
Qué incluir en un buen informe
- Descripción clara de la vulnerabilidad y su impacto potencial
- Pasos de reproducción (step-by-step)
- Tipo de vulnerabilidad (OWASP, CWE si es posible)
- Sistemas y URLs afectados
- Si aplica: capturas de pantalla, solicitudes HTTP, código de prueba de concepto
Plazos de respuesta
| Etapa | Plazo |
|---|---|
| Acuse de recibo | 48 horas hábiles |
| Calificación y clasificación | 7 días |
| Corrección (vulnerabilidad crítica) | 72 horas tras calificación |
| Corrección (vulnerabilidad alta) | 7 días tras calificación |
| Corrección (vulnerabilidad media/baja) | 30 días tras calificación |
| Autorización de divulgación pública | Tras corrección o acuerdo mutuo |
Si Clear Fashion no cumple estos plazos, el investigador puede divulgar públicamente tras un segundo intento de contacto.
Lo que ofrecemos
Clear Fashion es una startup — no disponemos de bug bounty financiero en esta etapa. A cambio de una divulgación responsable, ofrecemos:
- Acuse de recibo y seguimiento transparente de la resolución
- Mención en nuestro Hall of Fame si se desea
- Nuestro sincero agradecimiento por contribuir a la seguridad de nuestros usuarios
Hall of Fame
| Fecha | Investigador | Tipo de vulnerabilidad | Resolución |
|---|---|---|---|
| — | — | — | — |