Siigo
Seguridad

Lineamiento de divulgacion responsable

Política que establece los lineamientos para el reporte responsable de vulnerabilidades de seguridad en las plataformas de Siigo, dirigida a investigadores, clientes y la comunidad de ciberseguridad.

Lineamiento de Divulgación Responsable

1. Objetivo

La seguridad de los datos y la privacidad de nuestros usuarios son prioridades fundamentales. Reconocemos que la colaboración con investigadores y profesionales de seguridad es esencial para identificar y remediar vulnerabilidades antes de que puedan ser explotadas. Esta política establece los lineamientos para la divulgación responsable de vulnerabilidades en nuestras plataformas. Invitamos a investigadores, clientes y miembros de la comunidad de ciberseguridad a reportar posibles vulnerabilidades de manera responsable. Trabajaremos junto a ustedes para entender, validar y resolver los problemas reportados de forma ágil y transparente.

2. Alcance

Esta política aplica a todos los sistemas, aplicaciones y servicios operados directamente por Siigo, incluyendo:

  • Aplicación principal SaaS disponible en siigonube.siigo.com y subdominios relacionados
  • APIs públicas y privadas documentadas en developers.siigo.com
  • Infraestructura cloud con presencia en centros de datos
  • Aplicaciones móviles iOS y Android publicadas bajo la cuenta oficial de Siigo
  • Portales de clientes y paneles de administración

3. Fuera del alcance

  • Sitio de marketing y blog corporativo (siigo.com) — no contiene datos sensibles
  • Sistemas de terceros integrados (proveedores de pago, CRM externos, etc.)
  • Vulnerabilidades teóricas sin prueba de explotabilidad demostrable
  • Reportes generados exclusivamente por herramientas automatizadas sin análisis manual
  • Infraestructura de clientes o sus datos procesados dentro de la plataforma
  • Reporte de hallazgos basados en configuraciones genéricas sin contexto de explotación

4. Información Requerida en el Reporte

Para facilitar la validación y remediación ágil, incluya en su reporte:

  • Descripción detallada de la vulnerabilidad y su clasificación (ej. OWASP Top 10, CWE)
  • Pasos de reproducción claros y detallados (proof of concept)
  • Impacto potencial y datos o sistemas afectados
  • Capturas de pantalla, videos o registros de tráfico (saneados de datos personales)
  • Sistemas y versiones afectadas (URL, endpoint, versión de API)
  • Herramientas y metodologías utilizadas en la investigación
  • Sus datos de contacto y preferencia de idioma (español o inglés)

5. Conductas Prohibidas

  • Ataques de Denegación de Servicio (DoS/DDoS) o pruebas de carga no coordinadas
  • Ingeniería social, phishing o pretexting dirigido a empleados o clientes
  • Acceso, descarga o modificación de datos de clientes o usuarios reales
  • Ataques a infraestructura física, data centers o redes internas
  • Explotación de vulnerabilidades más allá de lo necesario para demostrar el impacto
  • Divulgación pública de la vulnerabilidad
  • Uso de herramientas que generen ruido excesivo (scanners agresivos, fuzzing masivo)
  • Spamming de endpoints o sistemas de autenticación (intentos de fuerza bruta masivos)
  • Compartir, vender o publicar datos obtenidos durante la investigación

6. Contacto del Equipo de Seguridad

Noticias y Avisos de Seguridad

Alertas y avisos de seguridad relevantes para usuarios de Siigo en Latinoamérica

Legal

Documentos legales y regulatorios para Latam

En esta página

Lineamiento de Divulgación Responsable1. Objetivo2. Alcance3. Fuera del alcance4. Información Requerida en el Reporte5. Conductas Prohibidas6. Contacto del Equipo de Seguridad