Seguridad y Divulgación Responsable

Tomamos la seguridad en serio. Si encontraste una vulnerabilidad en ASVAB Coach, agradecemos tu ayuda para divulgarla de manera responsable.

Esta página resume la política específica para ASVAB Coach. Para la política general que cubre todas las apps de KhassinX, consultá khassinx.com/es/security.

Reportar

Correo: [email protected]
Apuntador legible por máquina: /.well-known/security.txt (RFC 9116)

Alcance

• asvab.khassinx.com (este sitio web)
• App ASVAB Coach en la App Store de Apple

Fuera de alcance

• Servicios de terceros (App Store de Apple, Cloudflare, GitHub) — por favor reportalos directamente a ellos
• Ataques volumétricos (DDoS, fuerza bruta) — no son vulnerabilidades
• Reportes generados únicamente por escáneres automáticos sin prueba reproducible de impacto

Tiempos de respuesta

• Acuse de recibo: dentro de 5 días hábiles
• Triaje inicial: dentro de 14 días
• Cronograma de divulgación coordinada: acordado caso por caso

Safe harbor

No iniciaremos acción legal contra investigadores que actúen de buena fe — investigando, reportando y respetando las reglas de alcance. Esto incluye a investigadores que solo accedan a los datos necesarios para demostrar el problema, que no extraigan datos de usuarios y que nos den un tiempo razonable para remediar antes de la divulgación pública.

Reconocimiento

Actualmente no ofrecemos bug bounty monetario. Sí ofrecemos:

• Reconocimiento público (Hall of Thanks)
• Crédito gratuito de por vida para ASVAB Coach
• Una carta formal de reconocimiento que podés usar en tu portafolio