TODO LO PUEDO EN CRISTO QUE ME FORTALECE
// SECURITY POLICY

Política de seguridad

En SomarCreaciones tomamos la seguridad en serio. Si descubres una vulnerabilidad en cualquiera de nuestros productos o sitios, agradecemos que nos lo reportes de forma responsable antes de divulgarla públicamente.

Cómo reportar

Envía tu reporte a soporte@somarcreaciones.pro con el asunto [SECURITY]. Incluye: tipo de vulnerabilidad, URL o componente afectado, pasos para reproducir y, si es posible, una prueba de concepto. El archivo security.txt reside también en la raíz del dominio conforme al RFC 9116.

Alcance (scope)

  • somarcreaciones.pro y www.somarcreaciones.pro
  • Subdominios de productos: somarvet, somardent, somarconta, scards
  • API pública: /api/leads, /api/agent, /api/account/*
  • Cualquier brecha de autenticación, autorización o exposición de datos

Fuera de alcance

  • Ataques de ingeniería social a colaboradores o clientes
  • Ataques físicos a infraestructura de terceros (Vercel, Supabase, Cloudflare)
  • Denial-of-service volumétrico sin impacto demostrado
  • Reportes automáticos generados por escáneres sin verificación manual

Compromisos

  • Acuse de recibo en un máximo de 72 horas hábiles.
  • Evaluación técnica y comunicación de severidad en 7 días.
  • Fix y despliegue según severidad: crítico 24–72h, alto 7 días, medio 30 días.
  • Reconocimiento público (opcional) a reporteros responsables.

Reglas de divulgación

Te pedimos no divulgar públicamente la vulnerabilidad hasta que hayamos completado el fix. Evita acceder a datos de terceros, modificar información que no sea tuya y realizar pruebas que puedan degradar el servicio para otros usuarios. No aplicamos programa de recompensas monetarias, pero reconocemos el trabajo serio con crédito público si el reportero lo desea.

Idiomas

Aceptamos reportes en español e inglés.

Última actualización: 18 de abril de 2026 · Volver al inicio

Política de Seguridad — SomarCreaciones