Seguridad y divulgación responsable

Khazen maneja dinero. La seguridad no es una función para nosotros — es el cimiento. Si encontraste una vulnerabilidad, agradecemos tu ayuda para divulgarla de forma responsable.

Esta página cubre Khazen específicamente. Para la política general de todas las apps de KhassinX, ve khassinx.com/es/security.

Cómo reportar

Correo: [email protected]
Apuntador legible por máquina: /.well-known/security.txt (RFC 9116)

Por favor incluye: una breve descripción, pasos para reproducir, el impacto que observaste, y cualquier herramienta o cuenta que usaste. No incluyas credenciales bancarias reales ni tokens de producción.

Alcance

  • khazen.khassinx.com (este sitio web)
  • khazen-links.khassinx.com (endpoint de Universal Links + callback de OAuth)
  • Apps de Khazen para iOS / iPadOS / watchOS / macOS en el App Store
  • El backend de Khazen que retransmite conexiones bancarias y sirve notificaciones push

Fuera de alcance

  • Servicios de terceros (App Store de Apple, la red regulada de datos financieros con la que integramos, tu banco) — repórtalos directamente a ellos
  • Ataques volumétricos (DDoS, fuerza bruta) — no son vulnerabilidades
  • Reportes generados solo por escáneres automáticos sin prueba de impacto reproducible
  • Cuestiones teóricas sin un vector de ataque demostrable
  • Spoofing de correo en subdominios donde publicamos explícitamente SPF/DKIM/DMARC

Tiempos de respuesta

  • Acuse de recibo: dentro de cinco días hábiles
  • Triaje inicial: dentro de catorce días
  • Cronograma de divulgación coordinada: acordado caso por caso, típicamente noventa días para no críticos, acelerado para críticos

Puerto seguro

No emprenderemos acciones legales contra investigadores que actúen de buena fe — investigando, reportando y respetando nuestras reglas de alcance. Esto incluye acceder solo a los datos necesarios para demostrar el problema, no exfiltrar datos de usuarios y darnos tiempo razonable para remediar antes de la divulgación pública.

Reconocimiento

Actualmente no ofrecemos un programa monetario de bug bounty. Ofrecemos:

  • Reconocimiento público en esta página (con tu consentimiento, en la forma que prefieras)
  • Comunicación directa con el equipo de ingeniería que maneja la solución
  • Crédito formal en nuestras notas de versión cuando la solución se publique

Qué te pedimos evitar

  • No accedas, modifiques ni borres datos de otros usuarios
  • No realices pruebas que degraden la calidad del servicio para otros usuarios
  • No divulgues públicamente la vulnerabilidad antes de que tengamos una oportunidad razonable de arreglarla
  • No pruebes en cuentas de producción de clientes reales sin permiso escrito explícito

Contacto

Divulgación de seguridad: [email protected] (clave PGP disponible a solicitud)
Contacto general: [email protected]