Skip to content
Seguridad

Política de divulgación responsable

Si encontraste una vulnerabilidad en QuantumScan — en la plataforma, la API o el scanner-core — queremos saberlo. Tomamos la seguridad en serio y actuamos rápido.

📬
Cómo reportar: Envía un correo a security@quantumscan.io con descripción detallada, pasos para reproducir e impacto estimado. Respondemos en hasta 48 horas hábiles.
Prometemos: No iniciaremos acciones legales contra investigadores que actúen de buena fe y sigan esta política. Tu nombre o handle en nuestro hall de agradecimientos, si lo deseas.

Alcance

En alcance

  • quantumscan.io (producción)
  • API /api/* y funciones serverless
  • Dashboard autenticado
  • Scanner-core engine (repo público)
  • Fuga de datos de clientes
  • Escalada de privilegios
  • SSRF / RCE / SQLi / XSS persistente
🚫

Fuera de alcance

  • Ataques DDoS
  • Ingeniería social
  • Clickjacking sin impacto práctico
  • Resultados de scanners automáticos sin PoC
  • CVEs públicos en dependencias de terceros

Nuestras prácticas de seguridad

🔐

Cifrado en reposo y en tránsito

Base de datos Neon con TLS. Claves BYOK cifradas con AES-256-GCM antes de guardar. Ninguna clave de cliente aparece en logs.

🛡️

Autenticación vía Clerk

OAuth 2.0 (Google) + Magic Link. Sesiones con rotación automática de tokens. MFA disponible para todos los planes.

📋

Audit log completo

Toda acción sensible (scan, export, delete, settings) se registra con IP, user-agent y hash de integridad. Exportable en 1 clic vía panel GDPR.

🔍

Principio de mínimo privilegio

Tokens GitHub/GitLab con alcance mínimo de lectura. Nunca escribimos en el repositorio del cliente (excepto PR bot, con permiso explícito de instalación).

Historial de divulgaciones

Ninguna vulnerabilidad crítica reportada hasta el momento. Esta sección se actualizará conforme se resuelvan y divulguen hallazgos responsablemente.

¿Encontraste algo?

Repórtalo en privado. Actuamos en 48 horas hábiles.

security@quantumscan.io
← Volver al inicio