Política de seguridad
Tomamos muy en serio la seguridad de este sitio y de sus usuarios. Esta página describe cómo informar sobre una vulnerabilidad y a qué nos comprometemos en respuesta.
Notificación de una vulnerabilidad
Si descubre una vulnerabilidad de seguridad en este sitio o en su infraestructura de soporte, infórmela de manera responsable. No abra un issue público en GitHub para vulnerabilidades de seguridad.
Método preferido: Envíe un correo electrónico a security@eucybersecurity.org con una descripción de la vulnerabilidad, los pasos para reproducirla y el impacto potencial. Confirmaremos la recepción en un plazo de 48 horas.
También puede consultar nuestro security.txt para obtener
información de contacto de divulgación legible por máquina.
Divulgación coordinada
Seguimos una política de divulgación coordinada. Le pedimos que nos conceda un tiempo razonable para investigar y remediar antes de cualquier divulgación pública, normalmente 90 días, a menos que la vulnerabilidad esté siendo explotada activamente.
No tomaremos acciones legales contra investigadores de buena fe que reporten vulnerabilidades de acuerdo con esta política.
Alcance
En el ámbito de la divulgación responsable:
- El sitio web eucybersecurity.org y sus subdominios
- Los puntos finales de la API pública
- La autenticación y gestión de sesiones
- Vulnerabilidades de inyección (SQLi, XSS, SSRF, etc.)
Fuera del ámbito:
- Ataques de denegación de servicio
- Ingeniería social del personal
- Ataques físicos
Cabeceras de seguridad
Este sitio sirve cabeceras de seguridad estrictas en todas las respuestas, incluida Content-Security-Policy (basada en nonce), HSTS con precarga, X-Frame-Options: DENY y Permissions-Policy.