En Qoniar aplicamos seguridad por diseño: minimizamos la superficie de datos personales, validamos toda entrada y reducimos al mínimo el código que llega al navegador. Esta política explica cómo reportar una vulnerabilidad de forma responsable, qué plazos manejamos y qué protecciones ofrecemos a las personas investigadoras que actúan de buena fe.
1. Cómo reportar una vulnerabilidad
Utiliza uno de los canales privados descritos a continuación. No abras issues, pull requests, discussions ni publicaciones públicas con detalles del hallazgo: la divulgación pública antes del despliegue del parche pone en riesgo a otras personas usuarias.
2. Conducta responsable
Te pedimos que las pruebas sean proporcionadas al objetivo: confirmar la existencia del problema, no escalarlo. Las siguientes pautas son condición de participación en este programa:
Detén las pruebas en cuanto tengas una prueba de concepto viable.
No extraigas, modifiques ni destruyas datos que no sean tuyos.
No ejecutes escáneres automatizados a alta cadencia contra el tráfico de producción.
No utilices hallazgos para acceder a sistemas más allá de lo estrictamente necesario para demostrarlos.
Respeta en todo momento la legislación española y europea aplicable (ver sección 6).
3. Plazos de respuesta
Operamos con divulgación coordinada. Trabajamos contigo dentro del siguiente calendario, contado desde la recepción de tu reporte:
4. Alcance del programa
El programa cubre las superficies que Qoniar controla directamente. Para problemas en plataformas de terceros, contacta al proveedor correspondiente bajo su propio programa.
Dentro del alcance
El código de la aplicación publicada en qoniar.com y qoniar.es.
Rutas públicas de API expuestas por la aplicación (por ejemplo, el redirector de enlaces de afiliado).
Páginas programáticas publicadas bajo /herramientas/, /comparativas/, /mejores/, /tutoriales/ y /categorias/.
Archivos de configuración de build y despliegue versionados en el repositorio.
Fuera del alcance
Plataformas de terceros (Vercel, Neon, Cloudflare, Upstash, Google, GitHub): reporta directamente al proveedor.
Vulnerabilidades dentro de dependencias de terceros: reporta primero upstream; aplicaremos el parche cuando exista corrección.
Ingeniería social o intentos de phishing contra el equipo operativo.
Ataques físicos o que requieran un dispositivo de la persona usuaria ya comprometido.
Ataques volumétricos contra infraestructura compartida que no podamos mitigar.
Hallazgos basados únicamente en cabeceras ausentes sin un vector de explotación concreto.
Vulnerabilidades que requieran controlar una cuenta privilegiada inexistente: el servicio no opera con cuentas, autenticación ni sesiones.
5. Postura de seguridad
Esta sección es deliberadamente de alto nivel. Los umbrales numéricos, identificadores internos y procedimientos operativos no se publican aquí: se comparten contigo durante un reporte activo si la revisión lo requiere.
6. Marco legal aplicable
Qoniar se opera desde España. La siguiente normativa rige el servicio y la actividad de divulgación responsable dirigida al mismo:
Reglamento (UE) 2016/679: Reglamento General de Protección de Datos (RGPD).
Directiva 2002/58/CE: Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy), transpuesta a la legislación nacional.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Reglamento (UE) 2022/2065: Reglamento de Servicios Digitales (DSA), cuando resulte aplicable al rol del servicio.
Reglamento (UE) 2024/1689: Reglamento de Inteligencia Artificial (AI Act). El uso de IA en Qoniar se limita a asistir la redacción de contenido editorial, sin tratamiento de datos personales del usuario ni identificación biométrica.
Agencia Española de Protección de Datos (AEPD): autoridad de control competente en materia de protección de datos.
Repórtala de forma responsable y trabajaremos contigo dentro de los plazos de esta política. Para hallazgos técnicos puedes escribir directamente a seguridad@qoniar.com, o usar el formulario de contacto. El escalado legal va a legal@qoniar.com y el abuso del servicio a abuse@qoniar.com.