ZelixAI (InterIP Networks BV) opera un programa de divulgación coordinada de vulnerabilidades. Nos comprometemos a lo siguiente:
- Reconoceremos la recepción de su reporte en 5 días hábiles.
- Investigaremos y, si se confirma, parcharemos la vulnerabilidad dentro de una ventana de 90 días desde la fecha de reconocimiento.
- Le pedimos que no divulgue la vulnerabilidad públicamente antes de que haya transcurrido la ventana de 90 días y hayamos confirmado que el parche se ha implementado.
- Si un parche no se puede entregar dentro de 90 días, acordaremos una extensión mutua con usted por escrito.
- No emprendemos acciones legales contra investigadores que sigan esta política de buena fe.
1
Envíe su reporte
Envíe una descripción clara de la vulnerabilidad, pasos para reproducirla, URL/componente afectado e impacto potencial a security@zelixai.ai. Los reportes cifrados con PGP son bienvenidos.
2
Confirmación (dentro de 5 días hábiles)
Confirmamos la recepción e iniciamos el triaje. Haremos preguntas aclaratorias si es necesario.
3
Corrección y verificación (dentro de 90 días)
Parcheamos el problema e lo invitamos a verificar la corrección cuando sea posible. Lo mantendremos informado sobre el progreso.
4
Divulgación pública coordinada
Después de confirmar la corrección, publicamos un aviso de seguridad (si corresponde) y, con su permiso, lo acreditamos en nuestro salón de la fama.
Por favor, no discuta vulnerabilidades potenciales en canales públicos (GitHub, redes sociales, foros) antes de coordinarse con nosotros.
Lo siguiente está fuera del alcance de nuestro programa y no será recompensado ni reconocido:
✗
Ataques de denegación de servicio (volumétricos o a nivel de aplicación)
✗
Phishing, typosquatting o ataques de ingeniería social dirigidos a empleados o clientes de Zelix AI
✗
Ingeniería social del personal de soporte
✗
Vulnerabilidades de seguridad física
✗
Spam de correo electrónico / reportes de configuración incorrecta de SPF-DKIM sin explotación demostrada
✗
Salida de escáner automatizado sin verificación manual
✗
Vulnerabilidades en servicios de terceros que utilizamos (reportar directamente al proveedor)
✗
Self-XSS que requiere que la víctima ingrese su propia entrada maliciosa
Reconocemos agradecidamente a los siguientes investigadores que nos han divulgado responsablemente vulnerabilidades:
🏆
Sin entradas aún — ¡sea el primero en ser reconocido!
Los investigadores que divulguen una vulnerabilidad válida y dentro del alcance y den consentimiento para ser nombrados aparecerán aquí después de la divulgación coordinada.
