Política de divulgación de vulnerabilidades
Reportar una vulnerabilidad
Si descubre una vulnerabilidad de seguridad en bloodless.org, le pedimos que la reporte de manera responsable. Envíenos un correo electrónico con una descripción del problema, los pasos para reproducirlo y cualquier evidencia de respaldo. Acusaremos recibo de su reporte y trabajaremos para resolverlo con prontitud.
Dentro del alcance
Nos interesan las vulnerabilidades que afectan la seguridad, privacidad o integridad de los datos de los usuarios en bloodless.org. Esto incluye, entre otros:
- Cross-site scripting (XSS) — especialmente crítico dado nuestro modelo de cifrado del lado del cliente
- Evasión de autenticación o autorización
- Inyección del lado del servidor (SQL, comandos, plantillas)
- Debilidades en la implementación del cifrado del lado del cliente
- Acceso no autorizado a datos de usuarios o blobs cifrados
Fuera del alcance
- Ataques de denegación de servicio (DoS/DDoS)
- Ataques de ingeniería social contra el personal o los usuarios
- Campañas de phishing
- Ataques de fuerza bruta contra códigos de acceso de usuarios (este es un riesgo conocido y documentado en nuestro modelo de amenazas)
Compromisos de respuesta
- Acusar recibo de su reporte dentro de 48 horas
- Clasificar y evaluar la severidad dentro de 7 días
- Proporcionar actualizaciones de estado mientras trabajamos en una solución
- Darle crédito en nuestra divulgación (a menos que prefiera permanecer anónimo)
Nuestro modelo de cifrado
bloodless.org utiliza cifrado del lado del cliente (AES-256-GCM) para todo el contenido de directivas médicas. El servidor almacena únicamente blobs cifrados opacos que no puede leer. Nuestra frontera de seguridad más crítica es el navegador — cualquier vulnerabilidad que pueda exponer contenido descifrado en el DOM o evadir nuestra Política de Seguridad de Contenido se trata con la mayor severidad.
Directrices para investigadores
- No acceda, modifique ni elimine datos de otros usuarios
- No intente acceder a cuentas que no le pertenecen
- No divulgue públicamente vulnerabilidades antes de que hayamos tenido una oportunidad razonable de abordarlas
- No emprenderemos acciones legales contra investigadores que actúen de buena fe y sigan estas directrices