Responsible Disclosure / Reporte de vulnerabilidades

1. Objeto y alcance

Esta política se refiere al reporte de vulnerabilidades que afecten a las superficies digitales públicamente accesibles o a funcionalidades autenticadas de SINPLEITOS, en la medida en que el hallazgo recaiga sobre activos, integraciones o configuraciones expuestos por el propio servicio.

Salvo indicación expresa en contrario, esta política se refiere a los dominios y servicios productivos operados por SINPLEITOS bajo sinpleitos.es y a las funcionalidades públicamente expuestas por el propio servicio.

No forman parte del alcance las funcionalidades no habilitadas públicamente, las superficies en desarrollo mantenidas fuera de navegación o indexación y las superficies internas no públicas o de operación, aunque existan artefactos de código o URLs reservadas asociadas a ellas.

• Incluye, entre otros, el sitio web público, la Plataforma, el portal del cliente, los flujos de autenticación y registro, los formularios de contacto y las APIs o componentes servidos por SINPLEITOS.
• Puede incluir incidencias en integraciones de terceros en la medida en que el riesgo se manifieste a través del servicio ofrecido por SINPLEITOS.
• Quedan fuera del alcance los entornos de desarrollo, staging, pruebas internas y otros sistemas no productivos no expresamente publicados como superficie cubierta por esta política.
• Quedan fuera del alcance las pruebas directas contra infraestructuras de terceros no expuestas por SINPLEITOS, la ingeniería social, los ataques físicos, la obtención de acceso a cuentas de terceras personas y cualquier actuación que exceda de la mínima verificación técnica necesaria para describir el hallazgo.

2. Canal preferente de comunicación

El canal preferente para reportar una posible vulnerabilidad es el formulario público de contacto disponible en /contact/nuevo, seleccionando la categoría “Reporte de vulnerabilidad (security disclosure)”.

Si dicho formulario no estuviera temporalmente disponible, podrá utilizarse, con carácter supletorio, el correo security@sinpleitos.es, indicando en el asunto “Reporte de vulnerabilidad”.

En cualquiera de los canales anteriores, no deben remitirse credenciales, códigos OTP, contraseñas, tokens, claves privadas ni datos personales innecesarios. Si el hallazgo afecta a datos reales de terceros, el acceso debe interrumpirse de inmediato y el hecho debe comunicarse sin reproducirlo ni ampliarlo.

Si el hallazgo afecta a una superficie no enlazada, no indexada o aparentemente deshabilitada, la comprobación debe limitarse al mínimo indispensable para describir la incidencia; no debe intentarse forzar su activación, encadenar accesos adicionales ni convertir esa superficie en un flujo utilizable.

3. Contenido mínimo del reporte

Para permitir una evaluación razonable, el reporte debe incluir, en la medida de lo posible:

• Una descripción clara del comportamiento observado y del riesgo apreciado.
• La URL, funcionalidad, endpoint, flujo o componente afectado.
• Pasos de reproducción suficientemente concretos y, si procede, condiciones previas.
• Impacto potencial estimado y alcance razonablemente apreciable del hallazgo.
• Evidencias mínimas necesarias para verificar la incidencia, evitando datos excesivos.
• Un canal válido de contacto para seguimiento, aclaraciones o coordinación posterior.

Los adjuntos o capturas, cuando se aporten, deben limitarse a lo estrictamente necesario para ilustrar el hallazgo. No deben incorporarse bases de datos, volcados completos, historiales masivos, documentos de terceros ni pruebas redundantes de explotación.

4. Reglas de actuación de buena fe

Quien reporte una posible vulnerabilidad deberá limitar su actuación a la verificación técnica mínima, proporcionada y no destructiva necesaria para describir el hallazgo. A estos efectos, quedan fuera de los límites admisibles, entre otras, las siguientes conductas:

• Acceder a cuentas, expedientes, mensajes o documentos de terceras personas.
• Extraer, modificar, borrar, retener o divulgar datos ajenos.
• Persistir acceso, escalar privilegios o pivotar a otros sistemas más allá de lo mínimo indispensable.
• Realizar ataques de denegación de servicio, pruebas de carga o barridos automatizados masivos.
• Forzar mecanismos de habilitación, controles internos, mantenimiento o superficies no públicas.
• Repetir peticiones contra mecanismos anti‑abuso o limitación de tasa más allá de la verificación mínima necesaria para describir el hallazgo.
• Usar malware, ingeniería social, phishing, suplantación o técnicas de manipulación humana.
• Alterar la disponibilidad, integridad o trazabilidad del servicio o de sus evidencias.
• Divulgar públicamente el hallazgo antes de una coordinación razonable con SINPLEITOS.

La existencia de esta política no constituye una dispensa general frente a la ley, no autoriza el incumplimiento de los Términos y Condiciones y no ampara actuaciones que vulneren derechos de terceros, secreto de comunicaciones, normativa de protección de datos o deberes contractuales.

5. Gestión del reporte por SINPLEITOS

SINPLEITOS procurará revisar los reportes recibidos por el canal preferente, priorizarlos según su gravedad, reproducibilidad e impacto potencial, y solicitar la información adicional que resulte necesaria. El mero envío de una comunicación no implica, por sí solo, que el hallazgo constituya efectivamente una vulnerabilidad, ni que vaya a clasificarse con la severidad propuesta por quien reporta.

SINPLEITOS procurará acusar recibo del reporte y realizar una evaluación inicial en un plazo razonable, atendiendo a la criticidad y complejidad del hallazgo.

Los tiempos de análisis, validación, remediación o respuesta pueden variar en función de la complejidad técnica, la criticidad operativa, la necesidad de coordinación con proveedores o la concurrencia de otras incidencias. Esta política no fija un SLA público, no garantiza plazos cerrados ni obliga a comunicar hitos internos de investigación más allá de lo razonablemente procedente.

6. Divulgación coordinada

SINPLEITOS solicita que cualquier hallazgo se mantenga confidencial hasta que haya tenido una oportunidad razonable de analizarlo, mitigarlo o corregirlo, y de coordinar, en su caso, la comunicación pública que proceda. La divulgación pública unilateral previa, o la remisión del hallazgo a terceros sin necesidad legítima, puede incrementar el riesgo para personas usuarias y sistemas y se considera contraria a esta política.

Cualquier mención pública coordinada, reconocimiento nominal o difusión técnica del caso requerirá acuerdo previo y expreso de SINPLEITOS. Salvo pacto específico, SINPLEITOS no asume obligación de publicar listados de reconocimiento ni de emitir comunicados públicos sobre cada hallazgo recibido.

7. Recompensas, relación jurídica y límites de esta política

Esta política no constituye un programa de recompensas, bug bounty, oferta pública de remuneración ni promesa automática de compensación económica o reconocimiento. El envío de un reporte no genera por sí solo una relación contractual, societaria, laboral, profesional o de colaboración continuada entre quien reporta y SINPLEITOS.

SINPLEITOS no tiene intención de emprender acciones contra quien, actuando de buena fe, dentro del alcance de esta política y con sujeción estricta a sus límites, reporte una vulnerabilidad de forma responsable y coopere razonablemente en su análisis o mitigación. Lo anterior no supone renuncia general a acciones, exención automática de responsabilidad ni autorización previa para conductas que excedan de los límites aquí descritos.

8. Tratamiento de la información remitida

La información aportada a través del canal de reporte podrá ser tratada por SINPLEITOS con finalidad de análisis técnico, gestión del riesgo, preservación de evidencias, coordinación de respuesta, cumplimiento normativo y defensa frente a reclamaciones. Ese tratamiento se regirá por la Política de Privacidad y por la Política de Seguridad, en lo que resulte aplicable.

Quien reporte debe aplicar un criterio de minimización y no incorporar documentación o datos personales innecesarios. Si, pese a ello, se remiten datos excesivos o especialmente sensibles, SINPLEITOS podrá limitar su tratamiento, bloquearlos, anonimizar su contenido o prescindir de ellos cuando no resulten necesarios para la gestión del hallazgo.

Cuando resulte necesario para coordinar el análisis, preservar evidencias o mantener la trazabilidad operativa del hallazgo, la comunicación podrá incorporarse a los sistemas internos de ticketing o gestión de incidencias del Responsable, sin que ello altere los límites materiales de esta política ni amplíe permisos de prueba o acceso.

9. Relación con otros documentos y modificaciones

Esta política debe interpretarse conjuntamente con el Aviso Legal, los Términos y Condiciones, la Política de Privacidad, la Política de Cookies y la Política de Seguridad. En caso de contradicción, esta política prevalecerá únicamente respecto del canal, límites y reglas de coordinación del reporte responsable de vulnerabilidades.

SINPLEITOS podrá actualizar esta política cuando resulte necesario por motivos técnicos, operativos, jurídicos o de mejora del proceso de gestión de hallazgos. La versión publicada en este documento será la aplicable a las comunicaciones recibidas con posterioridad a su fecha de actualización, salvo que la propia naturaleza del hallazgo exija otra solución conforme a la buena fe y a la protección del servicio.

La publicación o actualización de esta política no condiciona por sí sola el acceso a áreas privadas ni sustituye los flujos de aceptación expresa y versionada reservados a los documentos que la Plataforma identifique específicamente como obligatorios para el uso continuado del servicio.