Política de Seguridad
Última actualización: 13 de mayo de 2026
Nuestro compromiso
En OposAGE protegemos los datos de nuestros usuarios y clientes con controles técnicos y organizativos alineados con el RGPD, la LOPDGDD y las buenas prácticas del sector SaaS B2B.
Reportar una vulnerabilidad
Si has descubierto una vulnerabilidad de seguridad en nuestro servicio, te agradecemos que nos lo comuniques de forma responsable. Aceptamos reportes en cualquier idioma, pero respondemos en castellano o inglés.
Canal preferente: seguridad@oposage.com
Canal alternativo: contacto@oposage.com
Qué incluir en tu reporte
- Descripción de la vulnerabilidad y su impacto.
- Pasos detallados para reproducirla.
- URLs, capturas o vídeos relevantes.
- Tu nombre o pseudónimo para acreditarte (opcional).
Nuestros compromisos contigo
- Acuse de recibo en 72 horas hábiles desde el envío del reporte.
- Evaluación y triage en 7 días naturales indicándote severidad asignada.
- Remediación en 90 días para vulnerabilidades críticas (CVSS ≥ 9); plazos proporcionales para severidades inferiores.
- Comunicación coordinada: te avisaremos antes de cualquier publicación o disclosure conjunto.
- No tomaremos acciones legales contra investigadores que actúen de buena fe, respeten las reglas de esta política y no accedan a datos de otros usuarios.
Reglas de juego
Para que un reporte se considere “buena fe”:
- No accedas, modifiques ni elimines datos que no sean tuyos. Si una prueba requiere autenticación, usa una cuenta de prueba propia.
- No realices ataques DoS, fuerza bruta masiva ni pruebas que degraden el servicio para otros usuarios.
- No ejecutes campañas de phishing contra usuarios o empleados.
- No explotes la vulnerabilidad más allá de lo necesario para demostrarla.
- No publiques detalles antes de que hayamos remediado, salvo acuerdo previo por escrito.
Alcance
En alcance:
- Los dominios
oposage.com,oposage.com,app.oposage.com,widget.oposage.com,docs.oposage.comyayuda.oposage.com. - La API REST de OposAGE y los endpoints públicos del widget.
- Los plugins WordPress y módulos LTI 1.3 publicados con la marca OposAGE.
Fuera de alcance:
- Servicios de terceros (Vercel, Supabase, Stripe, OpenAI, Anthropic, Upstash, PostHog, Sentry, Resend, Crisp, Cloudflare). Reporta directamente a su programa de seguridad.
- Vulnerabilidades en navegadores, sistemas operativos o dispositivos de cliente final.
- Hallazgos teóricos sin prueba de impacto.
- Spam, ingeniería social y phishing contra usuarios.
Severidad y priorización
Usamos la escala CVSS 3.1 para clasificar la severidad. Reservamos menciones públicas y créditos en la sección de agradecimientos para reportes que sean accionables, reproducibles y representen riesgo real para los usuarios.
Brechas de datos personales (RGPD art. 33)
En caso de brecha de seguridad que afecte a datos personales, notificamos a la AEPD en un plazo máximo de 72 horas y a los interesados afectados conforme al art. 34 del RGPD. Para más detalles sobre nuestro procedimiento, consulta nuestra Política de Privacidad.
Agradecimientos
Reconocemos públicamente a las personas que nos han ayudado a hacer OposAGE más seguro. Por ahora esta lista está vacía — sé el primero.
Contacto del responsable
Responsable de seguridad: Santi Scagliusi (founder)
Email: seguridad@oposage.com
Archivo security.txt: /.well-known/security.txt