Política de Seguridad

Última actualización: 13 de mayo de 2026

Nuestro compromiso

En OposAGE protegemos los datos de nuestros usuarios y clientes con controles técnicos y organizativos alineados con el RGPD, la LOPDGDD y las buenas prácticas del sector SaaS B2B.

Reportar una vulnerabilidad

Si has descubierto una vulnerabilidad de seguridad en nuestro servicio, te agradecemos que nos lo comuniques de forma responsable. Aceptamos reportes en cualquier idioma, pero respondemos en castellano o inglés.

Canal preferente: seguridad@oposage.com

Canal alternativo: contacto@oposage.com

Qué incluir en tu reporte

  • Descripción de la vulnerabilidad y su impacto.
  • Pasos detallados para reproducirla.
  • URLs, capturas o vídeos relevantes.
  • Tu nombre o pseudónimo para acreditarte (opcional).

Nuestros compromisos contigo

  • Acuse de recibo en 72 horas hábiles desde el envío del reporte.
  • Evaluación y triage en 7 días naturales indicándote severidad asignada.
  • Remediación en 90 días para vulnerabilidades críticas (CVSS ≥ 9); plazos proporcionales para severidades inferiores.
  • Comunicación coordinada: te avisaremos antes de cualquier publicación o disclosure conjunto.
  • No tomaremos acciones legales contra investigadores que actúen de buena fe, respeten las reglas de esta política y no accedan a datos de otros usuarios.

Reglas de juego

Para que un reporte se considere “buena fe”:

  • No accedas, modifiques ni elimines datos que no sean tuyos. Si una prueba requiere autenticación, usa una cuenta de prueba propia.
  • No realices ataques DoS, fuerza bruta masiva ni pruebas que degraden el servicio para otros usuarios.
  • No ejecutes campañas de phishing contra usuarios o empleados.
  • No explotes la vulnerabilidad más allá de lo necesario para demostrarla.
  • No publiques detalles antes de que hayamos remediado, salvo acuerdo previo por escrito.

Alcance

En alcance:

  • Los dominios oposage.com, oposage.com, app.oposage.com, widget.oposage.com, docs.oposage.com y ayuda.oposage.com.
  • La API REST de OposAGE y los endpoints públicos del widget.
  • Los plugins WordPress y módulos LTI 1.3 publicados con la marca OposAGE.

Fuera de alcance:

  • Servicios de terceros (Vercel, Supabase, Stripe, OpenAI, Anthropic, Upstash, PostHog, Sentry, Resend, Crisp, Cloudflare). Reporta directamente a su programa de seguridad.
  • Vulnerabilidades en navegadores, sistemas operativos o dispositivos de cliente final.
  • Hallazgos teóricos sin prueba de impacto.
  • Spam, ingeniería social y phishing contra usuarios.

Severidad y priorización

Usamos la escala CVSS 3.1 para clasificar la severidad. Reservamos menciones públicas y créditos en la sección de agradecimientos para reportes que sean accionables, reproducibles y representen riesgo real para los usuarios.

Brechas de datos personales (RGPD art. 33)

En caso de brecha de seguridad que afecte a datos personales, notificamos a la AEPD en un plazo máximo de 72 horas y a los interesados afectados conforme al art. 34 del RGPD. Para más detalles sobre nuestro procedimiento, consulta nuestra Política de Privacidad.

Agradecimientos

Reconocemos públicamente a las personas que nos han ayudado a hacer OposAGE más seguro. Por ahora esta lista está vacía — sé el primero.

Contacto del responsable

Responsable de seguridad: Santi Scagliusi (founder)
Email: seguridad@oposage.com
Archivo security.txt: /.well-known/security.txt