Política de Seguridad
Última actualización: 2026-05-13
Nos tomamos la seguridad muy en serio. Esta política detalla cómo informar de una vulnerabilidad, qué prometemos a cambio y qué está dentro del alcance. Los metadatos canónicos para investigadores de seguridad también se encuentran en /.well-known/security.txt (RFC 9116).
1. Cómo informar
Envíe un correo electrónico a [email protected] - clave PGP bajo petición - o abra un informe privado en https://hackerone.com/elido. Ambas rutas llegan a la misma cola de guardia. Por favor, incluya los pasos de reproducción, la URL/punto final afectado y el impacto que observó. No publique detalles públicamente hasta que hayamos coordinado una solución.
2. SLA de respuesta
Primera respuesta: en menos de 24 horas. Triaje con una calificación de severidad: en menos de 5 días laborables. Objetivo de resolución: 14 días para Alta/Crítica, 30 días para Media/Baja. Si una solución requiere más tiempo (por ejemplo, espera de una dependencia de terceros), le mantendremos informado semanalmente.
3. Dentro del alcance
elido.app (marketing), app.elido.app (panel de control), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (niveles de redireccionamiento), docs.elido.app, las aplicaciones de Elido para iOS y Android, los paquetes npm elidoapp/elido-* y el servidor Elido MCP (packages/mcp-server).
4. Fuera de alcance
Servicios de terceros que utilizamos (nuestra capa de autenticación e identidad, nuestro proveedor de chat de soporte, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend); informe directamente a ellos. Ataques de fuerza bruta a puntos finales con límite de velocidad (nosotros mismos los probamos). Ingeniería social al personal de Elido. Ataques volumétricos / DoS. Hallazgos que dependen de que la víctima instale software malicioso fuera de Elido. Redireccionamiento abierto a través del propio enlace corto: ese es el servicio.
5. Puerto seguro
Si realiza un esfuerzo de buena fe para cumplir con esta política, no emprenderemos acciones legales y trabajaremos con usted para comprender y resolver el problema. Específicamente: realizar pruebas en cuentas de su propiedad, no filtrar datos de producción, no afectar a otros clientes y no divulgarlos públicamente antes de que hayamos implementado una solución.
6. Recompensas
Elido gestiona un programa de recompensas por errores de pago en HackerOne. Recompensas indicativas (USD): Crítica $3000, Alta $1500, Media $500, Baja $200, Trivial equivalente a $50 en merchandising. El importe final depende del impacto, la novedad y la calidad del informe. También enumeramos las divulgaciones válidas no remuneradas en /legal/security-acknowledgments con su consentimiento.
7. Agradecimientos
Acreditamos públicamente a los investigadores que nos ayudan en /legal/security-acknowledgments - nombre de usuario o nombre real a su elección, y solo después de que se solucione el problema.