Política de Divulgación Responsable de Vulnerabilidades

Última actualización: abril 2026

Introducción

La seguridad de los Clientes y de sus datos es una prioridad para AIKIT RESEARCH, S.A. La presente Política establece el canal y las condiciones para que investigadores de seguridad y terceros de buena fe puedan reportar vulnerabilidades en los servicios de AIKIT RESEARCH, S.A.

1. Ámbito

1.1. Sistemas en alcance

La presente Política cubre las vulnerabilidades identificadas en:

  • La plataforma de AIKIT RESEARCH, S.A. accesible en sus dominios oficiales de producción.
  • Las APIs públicas y los endpoints de servicio expuestos por la plataforma.

1.2. Sistemas fuera de alcance

Quedan expresamente fuera del alcance de la presente Política:

  • El sitio web institucional de marketing y los entornos de documentación pública.
  • Aplicaciones móviles que no estén ofrecidas por AIKIT RESEARCH, S.A. directamente.
  • Servicios o productos de terceros (modelos de lenguaje, proveedores cloud, servicios de soporte) accesibles a través de la plataforma. Las vulnerabilidades en dichos productos deben reportarse al proveedor correspondiente.
  • Vulnerabilidades de tipo ingeniería social, físicas, denegación de servicio (DoS/DDoS), spam o abusos asociados a listas de correo.

2. Canal de reporte

Los reportes de vulnerabilidades deben dirigirse por correo electrónico a:

  • Dirección: admin@aikit.io
  • Asunto: «Vulnerability Disclosure — [breve descripción]»

El reporte debería incluir, en la medida de lo posible:

  • Tipo de vulnerabilidad y severidad estimada.
  • Pasos detallados para reproducirla.
  • URLs, parámetros y peticiones afectadas.
  • Impacto potencial.
  • Cualquier prueba de concepto (PoC) que se considere necesaria.

Se recomienda no incluir datos reales de terceros en los reportes.

3. Compromisos de AiKit

AIKIT RESEARCH, S.A. se compromete a:

  • Acusar recibo del reporte en un plazo de tres (3) días hábiles desde su recepción.
  • Mantener informado al investigador del estado del tratamiento de la vulnerabilidad con una cadencia mínima de diez (10) días hábiles hasta su resolución o cierre.
  • Reconocer públicamente la contribución del investigador cuando este lo desee y la naturaleza del caso lo permita.
  • Tratar todos los reportes de buena fe con confidencialidad y diligencia.

4. Safe harbor

AIKIT RESEARCH, S.A. no emprenderá acciones legales contra investigadores de seguridad que actúen de buena fe y respeten las condiciones de la presente Política, en particular:

  • Limitar las pruebas a lo estrictamente necesario para demostrar la vulnerabilidad.
  • No acceder, modificar, exfiltrar ni destruir datos de Clientes o terceros más allá de lo imprescindible.
  • No interrumpir ni degradar el servicio para otros usuarios.
  • No divulgar públicamente la vulnerabilidad antes de su resolución y sin acuerdo previo de coordinación con AIKIT RESEARCH, S.A.
  • Cumplir la legislación aplicable.

5. Conducta no permitida

Quedan excluidos del Safe Harbor anterior, y podrán dar lugar a las acciones legales que correspondan, los actos siguientes:

  • Acceso no autorizado a datos personales de Clientes o terceros más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
  • Alteración, destrucción o exfiltración de datos.
  • Ataques de denegación de servicio.
  • Ingeniería social contra el personal de AIKIT RESEARCH, S.A. o sus Clientes.
  • Cualquier actividad ilegal o contraria a la presente Política.

6. Recompensas

A la fecha, AIKIT RESEARCH, S.A. no opera un programa de recompensas económicas (bug bounty). Las contribuciones se reconocerán públicamente, cuando proceda y con el consentimiento del investigador, en la página de seguridad de AIKIT RESEARCH, S.A. AIKIT RESEARCH, S.A. podrá activar un programa de recompensas en el futuro mediante actualización de la presente Política.

7. Actualización

La presente Política podrá actualizarse cuando lo justifiquen cambios en los servicios, en los riesgos o en las mejores prácticas del sector. La versión vigente está disponible en la página del Trust Center de AiKit.

Contacto