OtterStorage
Hazte Founding Otter
es
EspañolEnglish
Inicio / Divulgación responsable

Política de divulgación responsable

Última actualización: junio de 2026.

En OtterStorage nos tomamos la seguridad muy en serio. Agradecemos el trabajo de investigadores y clientes que nos ayudan a mantener seguro el servicio. Esta política describe cómo reportar una vulnerabilidad de forma ordenada y qué puedes esperar de nosotros.

1. Cómo reportar

Envía tu informe a security@otterstorage.io. Este canal también está publicado de forma legible por máquinas en /.well-known/security.txt (conforme a la RFC 9116).

Si necesitas enviar información sensible cifrada, indícalo en tu primer correo y te facilitaremos una clave pública para el intercambio.

2. Qué incluir en el informe

Para que podamos reproducir y priorizar el problema con rapidez, incluye en la medida de lo posible:

  • Una descripción clara de la vulnerabilidad y su impacto potencial.
  • Los pasos detallados para reproducirla (prueba de concepto, peticiones HTTP, capturas o vídeo).
  • El componente afectado (URL, endpoint de API, bucket de ejemplo, etc.) y la fecha y hora aproximadas de las pruebas.
  • Datos de contacto para el seguimiento.

3. Nuestro compromiso

Cuando reportes de buena fe siguiendo esta política, nos comprometemos a:

  • Acusar recibo de tu informe en un plazo de 3 días hábiles.
  • Realizar una evaluación inicial y darte una valoración del problema en un plazo de 10 días hábiles.
  • Mantenerte informado del progreso de la corrección de forma razonable.
  • Tratar tu informe con confidencialidad y no compartir tus datos con terceros sin tu permiso.
  • Reconocer tu contribución públicamente si así lo deseas, una vez resuelto el problema.

4. Alcance

Esta política cubre los servicios operados por OtterStorage, en particular:

  • El sitio web otterstorage.io.
  • La consola de cliente console.otterstorage.io.
  • La API api.otterstorage.io y los endpoints de almacenamiento compatibles con S3.

5. Fuera de alcance

Los siguientes supuestos no se consideran vulnerabilidades reportables o requieren autorización previa expresa:

  • Ataques de denegación de servicio (DoS/DDoS) o pruebas de carga/volumen.
  • Ingeniería social, phishing o ataques físicos contra nuestro personal o instalaciones.
  • Envío masivo de correo (spam) o uso de los formularios como relay.
  • Informes generados exclusivamente por escáneres automáticos sin una prueba de concepto que demuestre impacto real.
  • Ausencia de cabeceras de seguridad o configuraciones de buenas prácticas sin un vector de ataque demostrable.
  • Vulnerabilidades en software de terceros sin un impacto concreto y reproducible en nuestro servicio.

6. Reglas de actuación

Para que tu investigación quede amparada por esta política, debes:

  • Actuar de buena fe y evitar cualquier daño, interrupción o degradación del servicio.
  • Usar únicamente cuentas y datos de tu propiedad. No accedas, modifiques ni elimines datos de otros clientes (otros tenants).
  • Detenerte de inmediato si encuentras datos personales o información confidencial de terceros, y notificárnoslo sin almacenarlos ni divulgarlos.
  • Concedernos un plazo razonable para corregir el problema antes de hacer pública cualquier información sobre la vulnerabilidad.
  • No utilizar la vulnerabilidad más allá de lo estrictamente necesario para demostrar su existencia.

7. Puerto seguro (safe harbor)

Consideramos la investigación de seguridad realizada de acuerdo con esta política como una actividad autorizada y beneficiosa. Si sigues estas reglas, no emprenderemos ni apoyaremos acciones legales contra ti por tu investigación, y trabajaremos contigo para entender y resolver el problema con rapidez. Si un tercero iniciara acciones legales contra ti por actividades realizadas conforme a esta política, lo haremos constar.

Esta autorización no se extiende a actividades que infrinjan la ley, comprometan la privacidad de otros clientes o degraden el servicio.

8. Recompensas

OtterStorage no dispone por el momento de un programa de recompensas económicas (bug bounty). Sí ofrecemos nuestro agradecimiento y, con tu consentimiento, reconocimiento público a quienes contribuyen a mejorar nuestra seguridad.

9. Contacto

Para cualquier asunto relacionado con la seguridad: security@otterstorage.io. Para otras consultas, visita nuestra página de contacto.