Borrador pendiente revisión abogado. Este documento fue generado por el agente siguiendo plantilla RGPD + LSSI + EU AI Act art.50 y será revisado por abogado tech en Fase 7 antes de darlo por final. Cualquier error material, contáctanos en legal@vexakon.com.
Responsible Disclosure Policy · Vexakon
Si has descubierto una vulnerabilidad de seguridad en Vexakon — sea en nuestra web, productos desplegados a clientes, infraestructura o cualquier sistema relacionado —, agradecemos tu reporte responsable. Esta política describe cómo coordinamos la divulgación.
Cómo reportar
- Email: security@vexakon.com
- PGP key: security-pubkey.asc (recomendado para info sensible)
- Idiomas: español o inglés
Qué incluir en tu reporte
- Descripción técnica de la vulnerabilidad.
- Pasos reproducibles (PoC opcional pero útil).
- Impacto estimado (confidencialidad · integridad · disponibilidad).
- Versión del sistema afectado o URL específica si aplica.
- Información para acreditarte si quieres reconocimiento público.
Qué hacemos al recibir tu reporte
- Acuse recibo <24h laborables a tu email.
- Triaje <72h · evaluamos severidad y confirmamos.
- Plan corrección y plazo· te lo comunicamos (típicamente <30 días para vulnerabilidades altas/críticas).
- Coordinación divulgación · acordamos timeline publicación una vez parcheado.
- Reconocimiento opcional · si lo deseas, hall of fame en /legal/security-hall-of-fame.
Scope · qué cubre esta política
In-scope:
- vexakon.com y subdominios (n8n · cal · metabase · status · coolify · qdrant).
- API webhook ingest (`/wh/*`).
- Productos desplegados a clientes (con autorización del cliente).
- Infraestructura Hetzner / Cloudflare bajo control Vexakon.
- Repositorios GitHub Vexakon públicos.
Out-of-scope:
- Subprocesadores de terceros (OpenAI, Anthropic, Stripe, etc.) · reporta directamente a ellos.
- Sistemas de clientes Vexakon (no nuestros assets).
- Ataques DoS / DDoS · social engineering empleados · phishing.
- Vulnerabilidades en software de terceros sin patch disponible.
- Issues de configuración SPF/DKIM/DMARC ya conocidas (revisa status público antes).
Comportamiento esperado
- NO publicar la vulnerabilidad antes de coordinar con nosotros (responsible disclosure).
- NO acceder a datos de clientes · si lo descubres accidentalmente, párate y reporta.
- NO ejecutar tests destructivos (DoS · ransomware · borrado datos).
- NO violar la legalidad española / europea.
- NO divulgar info sensible obtenida (la borras tras reporte).
Compromisos Vexakon
- NO acciones legales contra investigadores que actúen de buena fe siguiendo esta política.
- Trabajo colaborativo en timeline de fix razonable.
- Reconocimiento público (si lo deseas).
- Transparencia post-parche · publicamos advisory cuando corresponda.
Recompensas (bug bounty)
Actualmente NO ofrecemos recompensas económicas (Vexakon es empresa autónoma en fase pre-cliente). Sí ofrecemos:
- Reconocimiento público en hall of fame.
- LinkedIn endorsement con post agradecimiento.
- Carta de referencia para tu CV (si quieres).
- Programa bug bounty con compensación económica está en roadmap · será evaluado tras alcanzar 10+ clientes activos.
Contacto general no-security
Para cuestiones generales no relacionadas con seguridad: hola@vexakon.com.
Para cuestiones RGPD / privacidad / derechos titulares: dpo@vexakon.com.
Última actualización: 30 abril 2026. Versión 1.0. Esta política se actualiza periódicamente · revisa antes de cada reporte.