Política de seguridad

La seguridad de los datos de nuestra comunidad es nuestra prioridad. Esta página describe cómo informar una vulnerabilidad y cómo respondemos.

Actualizado el 17 de mayo de 2026

1. Reportar una vulnerabilidad

Si descubres una vulnerabilidad de seguridad, escríbenos a security@aukilo.com (o a contact@aukilo.com con «[SECURITY]» en el asunto).

Acusamos recibo en 72 horas laborables y te mantenemos informado·a del seguimiento.

Para acelerar el triage, incluye si es posible:

  • una descripción clara de la vulnerabilidad y su impacto;
  • los pasos para reproducirla;
  • la versión de la app o la URL afectada;
  • tu alias si deseas ser acreditado·a.

2. Alcance

Esta política cubre:

  • el sitio web y los subdominios de aukilo.com;
  • la app móvil Aukilo (iOS y Android);
  • las Edge Functions de Supabase desplegadas en el proyecto oficial.

3. Fuera del alcance

Los siguientes elementos no están cubiertos por la divulgación responsable:

  • ataques de denegación de servicio (DOS / DDoS);
  • phishing e ingeniería social contra el equipo o los usuarios;
  • scraping masivo o intentos de eludir cuotas;
  • vulnerabilidades ya conocidas o en proceso de corrección;
  • servicios de terceros (Vercel, Supabase, Firebase, Google) — reportarlos directamente al proveedor;
  • antiguos correos o dominios sin uso.

4. Nuestro compromiso

Si respetas las reglas de esta política:

  • no emprenderemos acciones legales contra ti;
  • trabajaremos contigo para confirmar y corregir la vulnerabilidad;
  • te acreditaremos públicamente (con tu consentimiento) una vez aplicado el parche;
  • publicaremos un post-mortem anónimo cuando sea relevante.

Aukilo aún no opera un programa de bug bounty remunerado. El reconocimiento es simbólico.

5. Reglas a respetar

Para beneficiarte de nuestro compromiso, por favor:

  • no accedas ni modifiques datos de usuarios sin su consentimiento;
  • no degrades el servicio ni interrumpas su funcionamiento;
  • no divulgues públicamente la vulnerabilidad antes de que la corrijamos;
  • no explotes la vulnerabilidad más allá de la prueba de concepto mínima.

6. Datos de usuarios

Aukilo trata datos personales conforme al RGPD y a nuestra política de privacidad. Si una vulnerabilidad expone datos personales, aplicaremos las obligaciones de notificación previstas por la ley (CNIL, usuarios afectados).

7. Contacto

Para cualquier consulta sobre esta política: security@aukilo.com.

Clave PGP disponible bajo petición para informes sensibles.