DIVULGACIÓN DE VULNERABILIDAD // CHIMERASCOPE

Política de Divulgación de Vulnerabilidades

Agradecemos la investigación de seguridad responsable. Si ha descubierto una vulnerabilidad potencial en nuestros productos o servicios, póngase en contacto a través del formulario seguro que se muestra a continuación.

Ámbito

Esta política se aplica a todos los productos, servicios e infraestructura operados por Gexiro Global Enterprises Ltd bajo la marca ChimeraScope, incluyendo pero no limitado a:

chimerascope.com — sitio web principal y página de aterrizaje
Subdominios y servicios asociados — cualquier activo orientado a internet operado bajo el dominio chimerascope.com

Cómo informar

Para informar de una vulnerabilidad de seguridad, utiliza el formulario de envío seguro en la parte inferior de esta página. Selecciona "Vulnerability Report" como tipo de envío e incluye tantos detalles como sea posible.

Para comunicaciones cifradas, nuestra clave pública PGP está disponible en:

Clave pública PGP: chimerascope.com/.well-known/pgp-key.txt
Huella digital: EED5 18E3 A297 106F 2CBA 1DA4 5DF7 605B F6D9 B6EA
Algoritmo: RSA-4096
Caduca: 2028-04-24

¿Qué incluir

Detalles de la vulnerabilidad

Una descripción clara de la vulnerabilidad, incluyendo el producto, componente o URL afectados. Especifique el tipo de vulnerabilidad (por ejemplo, inyección, bypass de autenticación, divulgación de información).

Pasos para reproducir

Instrucciones paso a paso para reproducir el problema. Incluya cualquier herramienta, script o carga útil utilizada. Se aceptan capturas de pantalla o grabaciones de pantalla.

Evaluación del impacto

Su evaluación del impacto potencial, incluyendo los datos, usuarios o sistemas afectados. Si es posible, incluya una puntuación CVSS o una estimación de gravedad.

Su información de contacto

Una forma de contactarle para preguntas adicionales. Respetamos su privacidad y no compartiremos su información de contacto sin su consentimiento. Se aceptan informes anónimos.

Nuestros Compromisos

Reconocimiento — 72 horas

Reconoceremos la recepción de su informe dentro de 72 horas y proporcionaremos un número de seguimiento para su envío.

Evaluación — 14 días

Nuestro equipo de seguridad evaluará el informe, confirmará la vulnerabilidad y determinará su gravedad. Le mantendremos informado sobre nuestro progreso.

Remediar — 90 días

Nuestro objetivo es remediar las vulnerabilidades confirmadas dentro de 90 días de su confirmación. Las vulnerabilidades críticas serán priorizadas para una resolución más rápida.

Divulgación — Coordinada

Practicamos la divulgación coordinada. Trabajaremos con usted para acordar un cronograma de divulgación. La divulgación pública no se realizará antes de que esté disponible una solución, a menos que la vulnerabilidad ya esté siendo explotada activamente.

Refugio Seguro

No perseguiremos acciones legales contra los investigadores de seguridad que descubran y reporten vulnerabilidades en buena fe, siempre que:

Actividades Protegidas

Actuar en buena fe para evitar daños a nuestros usuarios y sistemas
Evitar acceder, modificar o eliminar datos de otros usuarios
Informar los hallazgos de manera oportuna a través de este proceso de divulgación
Permitir un tiempo razonable para la corrección antes de la divulgación pública
No usar los hallazgos para ganancia personal más allá del reconocimiento

Excluido del Alcance

Ingeniería social o ataques de phishing contra empleados o usuarios
Ataques de denegación de servicio o agotamiento de recursos
Pruebas de seguridad física
Escaneo automatizado que genere tráfico excesivo
Acceder o exfiltrar datos de usuarios
Probar sistemas no incluidos en el alcance anterior

Reconocimiento

Creemos en reconocer las contribuciones de los investigadores de seguridad que nos ayudan a mejorar nuestra postura de seguridad. Con su consentimiento, reconoceremos públicamente su contribución en nuestra página de Avisos de Seguridad. Actualmente no operamos un programa de recompensas por errores pagado.

Actualizaciones de la política

Esta política puede ser actualizada de vez en cuando. La versión actual siempre está disponible en esta URL. Última actualización: Abril 2026.

Referencia

security.txt (RFC 9116): chimerascope.com/.well-known/security.txt
Clave pública PGP: chimerascope.com/.well-known/pgp-key.txt
Avisos de seguridad: chimerascope.com/security-advisories/

Reportar una vulnerabilidad

Utilice el formulario seguro de abajo para enviar sus hallazgos. Para comunicaciones encriptadas, nuestra clave pública PGP está disponible para descargar.

Submit Vulnerability Report

All submissions are treated as confidential. We will acknowledge receipt within 72 hours.