Seguridad y reportes responsables

Nibras está hecha privacy-first: no recolecta datos, no tiene servidores y corre por completo en tu dispositivo. La seguridad es un cimiento. Si encontraste una vulnerabilidad, apreciamos tu ayuda para reportarla de forma responsable.

Esta página cubre específicamente a Nibras. Para la política paraguas que cubre todas las apps e infraestructura de KhassinX, consultá khassinx.com/es/security.

Reportar

Email: [email protected]
Indicador machine-readable de disclosure: /.well-known/security.txt (RFC 9116)

Incluí: una descripción breve, pasos de reproducción, el impacto observado y cualquier herramienta que hayas usado.

Alcance

  • nibras.khassinx.com (este sitio)
  • La app de Nibras iOS / iPadOS / macOS / watchOS en la Apple App Store

Fuera de alcance

  • Servicios de terceros (Apple App Store, Apple iCloud, modelos on-device de Apple) — repórtalo directamente a Apple en security.apple.com
  • Ataques volumétricos (DDoS, brute force) — no son vulnerabilidades
  • Reportes generados solo por scanners automatizados sin prueba reproducible de impacto
  • Issues teóricos sin un camino de ataque demostrable
  • Email spoofing en subdominios donde publicamos explícitamente SPF/DKIM/DMARC

Tiempos de respuesta

  • Acuse de recibo: dentro de cinco días hábiles
  • Triage inicial: dentro de catorce días
  • Cronograma coordinado de disclosure: acordado caso por caso, típicamente noventa días para issues no críticos, acelerado para críticos

Safe harbor

No tomaremos acción legal contra investigadores actuando de buena fe — investigando, reportando y respetando nuestras reglas de alcance — que nos den tiempo razonable para remediar antes de la divulgación pública.

Reconocimiento

Actualmente no ofrecemos bug bounty monetario. Ofrecemos:

  • Reconocimiento público en esta página (con tu consentimiento, en la forma que prefieras)
  • Comunicación directa con el equipo de ingeniería que maneja el fix
  • Crédito formal en las release notes cuando el fix sale

Contacto

Reportes de seguridad: [email protected] (clave PGP disponible bajo pedido)
Contacto general: [email protected]