Seguridad y confianza
Divulgación de vulnerabilidades, contacto PGP y conformidad con el Cyber Resilience Act (CRA) de la UE.
1. Informar una vulnerabilidad
¿Has descubierto un problema de seguridad? Aceptamos informes confidenciales. Por favor utiliza los canales siguientes en lugar de canales públicos.
Canales de contacto confidenciales
- Correo electrónico:security@chorilo.com
- Clave PGP:/.well-known/pgp-key.txt
- security.txt según RFC 9116:/.well-known/security.txt
2. Alcance
Dentro del alcance
- chorilo.com y todos los subdominios de producción
- API Backend de Chorilo
- Aplicación móvil de Chorilo (iOS, Android)
- Aplicación de escritorio Chorilo Files (macOS, Windows)
- Autenticación, autorización, controles de acceso a datos
Fuera del alcance
- Informes de escáneres automatizados sin prueba de concepto funcional
- Cabeceras de seguridad ausentes sin impacto demostrado
- Phishing o ingeniería social del personal
- Servicios de terceros (Stripe, Sentry — informar directamente)
- Self-XSS, ataques al dispositivo del informante
3. Safe Harbor
Si actúas de buena fe, no emprenderemos acciones civiles ni penales, siempre que:
- Evites violaciones de privacidad, destrucción de datos e interrupciones del servicio.
- Solo interactúes con cuentas propias o con autorización explícita.
- No exfiltres más datos de los necesarios para demostrar el problema.
- Nos des un tiempo razonable para remediar antes de cualquier divulgación pública.
- No explotes la vulnerabilidad más allá del mínimo necesario.
4. Tiempos de respuesta
| Plazo | Acción |
|---|---|
| 3 días hábiles | Acuse de recibo al informante |
| 10 días hábiles | Evaluación inicial y clasificación de severidad |
| 24 h | Alerta temprana a ENISA para vulnerabilidades explotadas activamente |
| 72 h | Notificación de vulnerabilidad con plan de mitigación |
| 14 d | Informe final con causa raíz y remediación |
Para vulnerabilidades explotadas activamente se aplica el calendario CRA (24h / 72h / 14d).
5. Clave PGP
Para informes especialmente sensibles puede usarse la siguiente clave PGP.
Compara la huella con una segunda fuente — por ejemplo keys.openpgp.org — antes del primer uso.
6. Conformidad CRA
Chorilo cumple con el Cyber Resilience Act de la UE (Reglamento 2024/2847):
- Política de divulgación según art. 13 y 14 CRA.
- Software Bill of Materials (CycloneDX 1.5) por componente.
- Documentación técnica según Anexo VII, conservada 10 años.
- Página de estado pública e historial de incidentes en /status
7. Salón de la fama
Una lista de investigadores de seguridad que contribuyen a Chorilo se publicará tras la resolución de los primeros informes.