Política de Divulgación de Vulnerabilidades

Última actualización: 2026-05-04 · security.txt

In Growth Solutions agradece a los investigadores de seguridad que reportan vulnerabilidades de forma responsable. Esta política describe cómo reportar, qué esperamos del investigador, y qué nos comprometemos a hacer.

1. Cómo reportar

• Email: security@ingrowthsolutions.com
• Asunto sugerido: [Security] [Título del issue]
• Idiomas: español, portugués, inglés
• Cifrado (opcional): próximamente PGP key en /.well-known/security-pubkey.txt

Información a incluir

1. Descripción del issue, incluyendo URL afectada, parámetro, versión.
2. Pasos para reproducir (steps to reproduce).
3. Evidencia: capturas, logs, request/response (sin exponer PII real de otros usuarios).
4. Impacto estimado y vector de explotación.
5. Cómo te gustaría ser acreditado (o si preferís anónimo).

2. Compromiso de Growly

• Acuse de recibo: dentro de 72 horas.
• Update de status: dentro de 7 días con triage inicial.
• Resolución: según severidad — críticas en 14 días, altas en 30 días, medias en 90 días.
• Reconocimiento: publicación en Hall of Fame con tu consentimiento.
• Sin acción legal contra investigadores que cumplan con esta política y actúen de buena fe.

3. Reglas para la investigación

Esperamos que respetes:

• No exfiltres datos. Si tropezás con datos de otros usuarios, deteneté inmediatamente y reportá.
• No degrades el servicio. Sin DoS / DDoS / brute-force masivo / pruebas de carga.
• No social engineering. Sin phishing a empleados, contractors o usuarios.
• No ataques físicos.
• Solo cuentas tuyas o de prueba. Creá una cuenta gratuita y testeá ahí — no toques datos de terceros.
• Disclosure coordinado. No publiques antes de que hayamos remediado o pasen 90 días desde el reporte (lo que ocurra primero), salvo acuerdo distinto.

4. Alcance (scope)

In-scope

• app.ingrowthsolutions.com y subdominios bajo nuestro control.
• Endpoints /api/* en producción.
• Extensión Chrome Growly · Lead Importer.
• Emails enviados desde @ingrowthsolutions.com (SPF/DKIM/DMARC).
• Lógica de negocio: privilege escalation, IDOR, RLS bypass, leakage de datos cross-tenant, payment manipulation.

Out-of-scope

• Servicios de terceros: Supabase, Resend, Stripe, Sentry, Cloudflare, Hostinger — reportar a ellos directamente.
• Vulnerabilidades en navegadores antiguos sin soporte (IE11, Safari <14).
• Issues que requieran acceso físico al dispositivo del usuario.
• Auto-XSS o issues que requieran que el usuario pegue contenido en su propia consola.
• Best-practice findings sin impacto demostrable (missing security headers en endpoints sin datos sensibles, etc.).
• Spam / abuso / phishing reports — usar abuse@.
• Vulnerabilidades en dependencias OSS sin proof-of-concept en nuestro contexto.

5. Compensación

Hoy no operamos un programa pagado de bug bounty. Reconocemos a los investigadores con:

• Mención pública en el Hall of Fame (con tu consentimiento).
• Carta de agradecimiento firmada para tu portfolio profesional.
• Para hallazgos críticos: créditos de uso de la plataforma o swag.

Cuando alcancemos un nivel de revenue que lo permita, evaluaremos un programa formal con HackerOne / Intigriti / nativo. Mientras, agradecemos la paciencia.

6. Hall of Fame

Aún no tenemos reportes documentados. ¡Sé el primero!

7. Safe Harbor

Mientras te ajustes a esta política y actúes de buena fe, Growly:

• No iniciará acciones legales en tu contra.
• No colaborará con investigaciones de terceros que apunten a vos por la actividad cubierta por esta política.
• Considerará tu reporte como autorizado bajo legislación aplicable (Cómputo Forense / Ley 26.388 AR / similares LATAM y CFAA US, en la medida que la jurisdicción lo permita).

Si una tercera parte (regulador, autoridad) inicia acción, abogaremos públicamente por tu safe harbor en línea con esta política.

Documentos relacionados: AUP · Privacidad · security.txt