Política de Divulgación de Vulnerabilidades

Versión: 2026-03-11

1. Propósito y Ámbito de Aplicación

1.1. AtroCore GmbH (en adelante también denominada la Empresa) se compromete a mantener la seguridad de sus productos de software, servicios de plataforma y sistemas internos. La seguridad de los datos que nos confían nuestros clientes, socios y usuarios es de la máxima importancia.

1.2. Esta Política de Divulgación de Vulnerabilidades (PDV) establece un proceso transparente y estructurado para que investigadores de seguridad externos, clientes, socios y miembros del público en general (en adelante denominados Informantes) puedan notificar de manera responsable vulnerabilidades de seguridad sospechadas o confirmadas que afecten a los productos y sistemas de AtroCore.

1.3. Esta política se aplica a todo el software, servicios, APIs e infraestructura operada o mantenida por AtroCore GmbH, incluyendo, entre otros:

  • La plataforma AtroCore y su API REST
  • Las interfaces de Import/Export Feed
  • Los entornos SaaS alojados por AtroCore
  • Los sitios web y aplicaciones web públicos de AtroCore

1.4. Esta política no se aplica a vulnerabilidades en software o servicios de terceros que AtroCore no desarrolla ni controla, aunque dicho software se utilice en conexión con los productos de AtroCore. Se anima a los Informantes a notificar dichos problemas directamente al proveedor correspondiente.

2. Nuestros Compromisos

2.1. AtroCore GmbH se compromete a colaborar de buena fe con los investigadores de seguridad y con la comunidad de seguridad en general. A cambio de una divulgación responsable conforme a esta política, AtroCore asume los siguientes compromisos:

2.2. La Empresa acusará recibo de un informe de vulnerabilidad en un plazo de 5 días hábiles desde su recepción.

2.3. La Empresa investigará todas las vulnerabilidades notificadas con prontitud e informará al Informante sobre el progreso de la investigación en la medida en que lo permitan las consideraciones de confidencialidad y legales.

2.4. La Empresa no emprenderá acciones legales contra los Informantes que descubran y notifiquen vulnerabilidades de buena fe y de conformidad con esta política.

2.5. La Empresa tratará todos los informes presentados con confidencialidad y no compartirá la información personal del Informante con terceros sin su consentimiento explícito, salvo que la ley así lo exija.

2.6. La Empresa trabajará para remediar las vulnerabilidades confirmadas dentro de los plazos establecidos en la Sección 6 de esta política y notificará al Informante una vez completada la remediación.

3. Directrices de Divulgación Responsable

3.1. Se espera que los Informantes actúen de buena fe y lleven a cabo su investigación de una manera que no cause daño a AtroCore, a sus clientes ni a ninguna persona cuyos datos puedan estar involucrados.

3.2. Al investigar una posible vulnerabilidad, los Informantes no deben:

  • Acceder, modificar, eliminar ni exfiltrar datos pertenecientes a AtroCore o a sus clientes más allá de lo estrictamente necesario para demostrar la existencia de la vulnerabilidad
  • Realizar ataques de denegación de servicio ni ninguna otra acción que degrade la disponibilidad o el rendimiento de los sistemas de AtroCore
  • Introducir malware, puertas traseras ni ningún otro código malicioso en los sistemas de AtroCore
  • Realizar ataques de ingeniería social contra empleados, contratistas o clientes de AtroCore
  • Divulgar información sobre una vulnerabilidad a terceros o públicamente antes de que AtroCore haya tenido una oportunidad razonable de investigarla y remediarla
  • Utilizar herramientas de escaneo automatizado en entornos de producción sin la aprobación previa por escrito de AtroCore

3.3. Los Informantes que cumplan con esta política se considerará que han actuado de buena fe, y AtroCore no emprenderá acciones legales contra ellos en relación con sus actividades de investigación.

3.4. AtroCore anima a los Informantes a utilizar entornos de prueba o de preproducción dedicados, cuando estén disponibles, para actividades de investigación de seguridad. Si un Informante no está seguro de si una actividad de prueba concreta está permitida, debe ponerse en contacto con AtroCore antes de proceder.

4. Cómo Notificar una Vulnerabilidad

4.1. Las vulnerabilidades de seguridad deben notificarse al Equipo de Seguridad de la Información de AtroCore enviando un correo electrónico al Delegado de Protección de Datos a la dirección con el asunto: "Informe de Vulnerabilidad – [breve descripción]".

4.2. Para que AtroCore pueda evaluar y responder al informe de forma eficiente, se solicita a los Informantes que incluyan la siguiente información en la medida de lo posible:

  • Una descripción clara y concisa de la vulnerabilidad, incluyendo su tipo (p. ej., inyección SQL, control de acceso deficiente, divulgación de información)
  • El producto, servicio o sistema afectado, incluyendo los números de versión cuando se conozcan
  • Una descripción paso a paso de cómo reproducir la vulnerabilidad
  • El impacto potencial de la vulnerabilidad, incluyendo qué datos o funcionalidades podrían verse afectados
  • Cualquier evidencia de apoyo, como capturas de pantalla, código de prueba de concepto o capturas de solicitudes/respuestas HTTP
  • Los datos de contacto del Informante, en caso de que AtroCore necesite realizar un seguimiento

4.3. Los informes pueden presentarse en inglés, alemán o español.

4.4. AtroCore no gestiona actualmente un programa de recompensas por errores. Los informes de vulnerabilidades se aceptan de forma voluntaria y sin compensación económica, salvo que se acuerde expresamente lo contrario por escrito.

5. Clasificación de Severidad

5.1. Tras la recepción de un informe, AtroCore evaluará la gravedad de la vulnerabilidad notificada utilizando la siguiente clasificación:

Crítica hace referencia a vulnerabilidades que permiten el acceso no autorizado a datos personales sensibles o datos confidenciales de clientes, la ejecución remota de código, el compromiso total del sistema, o cualquier problema que pueda dar lugar a una violación de datos personales según lo definido en el Artículo 33 del RGPD.

Alta hace referencia a vulnerabilidades que permiten un acceso no autorizado significativo a sistemas o datos, escalada de privilegios, o elusión de los controles principales de autenticación o autorización.

Media hace referencia a vulnerabilidades que presentan un riesgo de seguridad relevante pero que requieren condiciones específicas o interacción del usuario para ser explotadas, o que tienen un impacto limitado en la confidencialidad, integridad o disponibilidad de los datos.

Baja hace referencia a vulnerabilidades con una explotabilidad o impacto mínimos, incluyendo problemas informativos, configuraciones incorrectas menores, o hallazgos que presentan un riesgo teórico en lugar de práctico.

6. Plazos de Remediación

6.1. AtroCore se compromete a remediar las vulnerabilidades confirmadas dentro de los siguientes plazos objetivo, contados desde la fecha en que se confirme la vulnerabilidad:

Las vulnerabilidades de severidad crítica se abordarán en un plazo de 72 horas.

Las vulnerabilidades de severidad alta se abordarán en un plazo de 7 días naturales.

Las vulnerabilidades de severidad media se abordarán en un plazo de 30 días naturales.

Las vulnerabilidades de severidad baja se abordarán en un plazo de 90 días naturales.

6.2. Cuando la remediación dentro de los plazos anteriores no sea técnica u operativamente factible, AtroCore notificará al Informante del retraso, explicará los motivos y proporcionará una nueva fecha objetivo.

6.3. En los casos en que una vulnerabilidad haya sido confirmada como Crítica e implique un riesgo para los datos personales, AtroCore seguirá además los procedimientos de respuesta a brechas establecidos en la Política de Brechas de Datos Personales de AtroCore y, cuando sea necesario, notificará a la autoridad supervisora competente en un plazo de 72 horas de conformidad con el Artículo 33 del RGPD.

7. Divulgación Coordinada

7.1. AtroCore sigue un enfoque de divulgación coordinada. Esto significa que los detalles de las vulnerabilidades no se publicarán públicamente hasta que se haya puesto a disposición una remediación o hasta que haya transcurrido un plazo de divulgación acordado.

7.2. AtroCore solicita a los Informantes que se abstengan de publicar o compartir detalles de una vulnerabilidad notificada durante un período de al menos 90 días naturales desde la fecha de presentación del informe inicial, con el fin de disponer de tiempo suficiente para la investigación y la remediación.

7.3. Si AtroCore no puede remediar una vulnerabilidad en un plazo de 90 días, la Empresa se comprometerá de buena fe con el Informante para acordar un calendario de divulgación extendido apropiado.

7.4. AtroCore podrá, con el consentimiento del Informante, reconocer públicamente la contribución del Informante tras la remediación de la vulnerabilidad notificada.

8. Cuestiones Fuera del Ámbito

8.1. Las siguientes categorías de problemas se consideran fuera del ámbito de esta política y, en general, no serán aceptadas como informes de vulnerabilidad válidos:

  • Vulnerabilidades en software, bibliotecas o servicios de terceros que no están bajo el control de AtroCore
  • Problemas que requieren acceso físico a un dispositivo o sistema
  • Ataques de ingeniería social o phishing dirigidos al personal de AtroCore
  • Ataques de denegación de servicio o hallazgos derivados de dichos ataques
  • Vulnerabilidades teóricas sin una ruta de explotación demostrada o plausible
  • Cabeceras de seguridad faltantes o problemas de configuración TLS en endpoints no sensibles donde el riesgo es insignificante
  • Informes generados por herramientas de escaneo automatizado sin análisis adicional ni prueba de explotabilidad
  • Problemas relacionados con versiones de software que han llegado al fin de su vida útil y ya no son compatibles con AtroCore

9. Revisión de la Política

9.1. Esta política será revisada al menos anualmente, o tras cualquier incidente de seguridad significativo, cambio material en el panorama de productos o infraestructura de AtroCore, o cambios relevantes en la legislación aplicable de la UE o alemana.

9.2. El Delegado de Protección de Datos es responsable de mantener y actualizar esta política y debe ser consultado en cualquier revisión que afecte al tratamiento de datos personales.

Para informes de vulnerabilidades y consultas de seguridad, contacte con: