Ir al contenido principal
Petanque Life

RFC 9116 · ISO/IEC 29147

Divulgación coordinada de vulnerabilidades

Animamos a investigadores de seguridad, clientes y miembros del público que crean haber encontrado una debilidad de seguridad en cualquier servicio de Petanque Life a notificarla por los canales siguientes. Seguimos la RFC 9116 (security.txt) y la ISO/IEC 29147 (divulgación de vulnerabilidades).

Cómo contactarnos

Envía un correo cifrado a security@petanque.life usando la clave PGP publicada en /security/pgp-key.asc. Si el correo cifrado no es posible, usa el formulario en petanque.life/security y responderemos desde una dirección verificable.

Dentro del alcance

  • petanque.life y cualquier subdominio *.petanque.life alojado por Petanque Life
  • Las aplicaciones móviles «Petanque Life» y «Petanque Life Admin» publicadas en la cuenta de desarrollador de Esi System AB
  • La API REST pública en api.petanque.life
  • Los sitios CMS de federaciones y clubes en *.web.petanque.life

Fuera del alcance

  • Despliegues auto-alojados de federaciones no operadas por Petanque Life
  • Reportes que requieran acceso físico al dispositivo del usuario
  • Pruebas de denegación de servicio volumétricas
  • Hallazgos limitados a navegadores obsoletos, cabeceras best-practice ausentes sin exploit, o ingeniería social del personal
  • Servicios de terceros que integramos — repórtalos directamente al proveedor

Qué incluir

  • Descripción clara del problema y del impacto
  • Pasos de reproducción, solicitudes y prueba de concepto mínima
  • URL, build o hash de commit afectado si se conoce
  • Si quieres aparecer en el hall of fame

Nuestro compromiso

  • Acuse de recibo en 3 días hábiles
  • Decisión de triage en 10 días hábiles
  • Actualizaciones de estado al menos cada 14 días hasta la resolución
  • Divulgación pública coordinada con el investigador, normalmente cuando el parche está desplegado

Safe harbour

La investigación realizada de buena fe siguiendo esta política no será perseguida judicialmente. No accedas ni modifiques datos que no sean tuyos, no exfiltres datos y detén las pruebas en cuanto se confirme la vulnerabilidad.

Legal

Esta política no exime de la responsabilidad penal por actuaciones fuera de su alcance ni autoriza pruebas contra proveedores externos. Reporta únicamente sistemas que estés autorizado a probar bajo esta política.

Hall of fame

Agradecemos públicamente a los investigadores que envían reportes válidos. El hall of fame está en /security/hall-of-fame.

Ver hall of fame →