NexoISP Logo
Volver al inicio

Vulnerability Disclosure Policy

Resumen del VDP

Garantías Legales

  • Safe Harbor para investigaciones de buena fe
  • Divulgación coordinada de vulnerabilidades
  • Restricción estricta sobre datos de clientes

Proceso y Alcance

  • Proceso claro de 4 etapas (Recepción a Cierre)
  • Alcance definido sobre servicios NexoISP
  • Canal directo: security@nexoisp.com

POLÍTICA DE DIVULGACIÓN RESPONSABLE DE VULNERABILIDADES Vulnerability Disclosure Policy (VDP)

Última actualización: Junio 2026

Versión: 1.0

1. INTRODUCCIÓN

La seguridad de nuestros clientes, socios y usuarios es una prioridad fundamental para NexoISP.

Reconocemos el importante papel que desempeñan los investigadores de seguridad, profesionales independientes, clientes y miembros de la comunidad tecnológica en la identificación responsable de posibles vulnerabilidades.

Esta Política de Divulgación Responsable de Vulnerabilidades establece el proceso mediante el cual terceros pueden reportar hallazgos de seguridad de manera segura y coordinada.

2. NUESTRO COMPROMISO

Cuando una vulnerabilidad sea reportada de buena fe y conforme a esta política, NexoISP se compromete a:

  • Revisar el reporte oportunamente.
  • Investigar la vulnerabilidad reportada.
  • Mantener una comunicación razonable con el investigador.
  • Trabajar para corregir vulnerabilidades válidas.
  • Reconocer la contribución de los investigadores cuando corresponda.
  • No iniciar acciones legales contra actividades realizadas de buena fe dentro del alcance definido por esta política.

3. ALCANCE

Esta política aplica a los sistemas, servicios y aplicaciones operados directamente por NexoISP. Incluye:

  • Plataforma web NexoISP.
  • Portal de clientes.
  • APIs públicas autorizadas.
  • Componentes de autenticación.
  • Servicios expuestos públicamente por NexoISP.
  • Infraestructura gestionada directamente por NexoISP.

4. FUERA DE ALCANCE

Los siguientes elementos no se encuentran cubiertos por esta política:

Servicios de terceros

  • Infraestructura operada por proveedores cloud.
  • Plataformas externas.
  • Servicios administrados por terceros.
  • Aplicaciones no controladas por NexoISP.

Actividades prohibidas No están permitidas acciones que:

  • Interrumpan la disponibilidad del servicio.
  • Degraden el rendimiento de sistemas.
  • Comprometan información de clientes.
  • Accedan a datos personales sin autorización.
  • Modifiquen o destruyan información.
  • Generen fraude.
  • Afecten operaciones de clientes.

5. CÓMO REPORTAR UNA VULNERABILIDAD

Los reportes deben enviarse a: security@nexoisp.com

Se recomienda incluir:

Información de contacto

  • Nombre o alias.
  • Correo electrónico.

Descripción del hallazgo

  • Tipo de vulnerabilidad.
  • Impacto potencial.
  • Sistemas afectados.

Pasos para reproducir

  • Procedimiento detallado.
  • Evidencia técnica.
  • Capturas de pantalla si aplica.

Prueba de concepto Cuando sea posible:

  • Código de demostración.
  • Solicitudes HTTP.
  • Logs relevantes.
  • Evidencia de explotación controlada.

6. PROCESO DE GESTIÓN

Etapa 1 – Recepción Confirmaremos la recepción del reporte en un plazo razonable.

Etapa 2 – Validación Nuestro equipo evaluará:

  • Reproducibilidad.
  • Impacto.
  • Alcance.
  • Severidad.

Etapa 3 – Remediación Si la vulnerabilidad es válida:

  • Se asignará prioridad.
  • Se desarrollará una corrección.
  • Se realizarán pruebas internas.
  • Se desplegará la solución correspondiente.

Etapa 4 – Cierre Una vez mitigada la vulnerabilidad:

  • Se notificará al investigador.
  • Se documentará internamente.
  • Se incorporarán mejoras preventivas cuando corresponda.

7. CLASIFICACIÓN DE SEVERIDAD

La severidad podrá clasificarse de manera general como:

  • Crítica: Permite comprometer sistemas, datos sensibles o múltiples clientes.
  • Alta: Impacto significativo sobre seguridad o disponibilidad.
  • Media: Impacto limitado o condiciones específicas requeridas.
  • Baja: Riesgo reducido o difícil explotación.

8. DIVULGACIÓN COORDINADA

Solicitamos a los investigadores evitar la divulgación pública de vulnerabilidades hasta que:

  • La vulnerabilidad haya sido corregida.
  • Se haya acordado un plazo razonable.
  • Exista coordinación entre ambas partes.

Este enfoque busca proteger a nuestros clientes y reducir riesgos de explotación.

9. CONDUCTA ESPERADA DEL INVESTIGADOR

Esperamos que quienes participen en investigaciones de seguridad:

  • Actúen de buena fe.
  • Eviten acceder a información de clientes.
  • Limiten sus pruebas al mínimo necesario.
  • Reporten hallazgos de manera responsable.
  • Respeten la privacidad de terceros.
  • Suspendan pruebas si detectan riesgo operacional.

10. SAFE HARBOR

NexoISP considera autorizadas las actividades de investigación realizadas de buena fe y conforme a esta política.

Siempre que el investigador:

  • Respete los límites definidos.
  • Evite causar daño.
  • Reporte oportunamente los hallazgos.
  • Coopere durante el proceso de validación.

NexoISP no considerará dichas actividades como acceso no autorizado ni buscará iniciar acciones legales derivadas exclusivamente de investigaciones realizadas bajo estas condiciones.

Esta disposición no aplica a actividades maliciosas, fraudulentas o realizadas fuera del alcance definido.

11. PROGRAMA DE RECOMPENSAS

Actualmente NexoISP no opera un programa formal de recompensas económicas (Bug Bounty Program). Sin embargo, nos reservamos la posibilidad de:

  • Reconocer públicamente contribuciones destacadas.
  • Otorgar agradecimientos formales.
  • Implementar programas de recompensas en el futuro.

12. RECONOCIMIENTO A INVESTIGADORES

Cuando el investigador lo autorice y la naturaleza del hallazgo lo permita, podremos reconocer públicamente su contribución en futuras iniciativas de seguridad o transparencia.

13. RELACIÓN CON OTRAS POLÍTICAS

Esta política complementa:

  • Política de Seguridad de la Información.
  • Controles de Seguridad.
  • Política de Respuesta a Incidentes.
  • Auditoría y Logs.
  • Centro de Confianza.

14. CONTACTO

DECLARACIÓN FINAL

La seguridad es una responsabilidad compartida. Valoramos la colaboración de investigadores, profesionales y miembros de la comunidad que contribuyen a fortalecer la protección de nuestros sistemas y la confianza de nuestros clientes. Agradecemos cualquier reporte realizado de manera responsable y profesional.

NexoISP S.A.S. Construyendo una plataforma segura, resiliente y transparente para los operadores ISP de Latinoamérica.