Política de Reporte Responsable
En DTS Distribuidora valoramos a la comunidad de investigadores de seguridad. Si descubrís una vulnerabilidad en nuestro sitio o sistemas, te pedimos que nos la reportes de forma privada antes de divulgarla públicamente, para que podamos remediarla y proteger a nuestros usuarios.
Cómo reportar
- Enviá un email a info@dtsdistribuidora.com.ar con asunto "Security - Vulnerability Report".
- Incluí: descripción del problema, pasos para reproducirlo, impacto estimado y evidencia (capturas/logs).
- Si querés, indicá un alias y dónde te gustaría ser reconocido (Hall of Fame).
Qué esperar
- Acuse de recibo: dentro de las 72 horas hábiles.
- Triage inicial: dentro de los 7 días hábiles.
- Resolución: dependiendo de severidad, entre 14 y 90 días.
- Reconocimiento público opcional una vez resuelto el problema (si lo deseás).
Safe Harbor
No iniciaremos acciones legales contra investigadores que actúen de buena fe y respeten esta política. Te comprometés a no acceder, modificar ni eliminar datos de terceros, a no realizar DoS, ingeniería social ni phishing contra empleados o clientes, y a no divulgar la vulnerabilidad hasta que esté resuelta.
Alcance
Dentro del alcance:
dtsdistribuidora.com.ary subdominios públicos- API públicas accesibles desde el sitio
- Aplicaciones expuestas a usuarios finales
Fuera del alcance:
- Servicios de terceros (Mercado Pago, Correo Argentino, etc.)
- Vulnerabilidades en dependencias ya conocidas y reportadas upstream
- Issues que requieran acceso físico, ingeniería social o phishing
- Reportes generados por scanners automatizados sin validación manual
- Ataques DoS/DDoS
Qué NO está permitido
- Acceder, descargar, modificar o eliminar datos de otros usuarios.
- Realizar ataques de denegación de servicio (DoS/DDoS).
- Hacer ingeniería social, phishing o spam contra empleados o clientes.
- Romper la integridad o disponibilidad del servicio.
- Publicar la vulnerabilidad antes de su resolución sin coordinación previa.
Categorías de severidad
- Crítica: RCE, SQLi explotable, exposición masiva de datos personales o credenciales.
- Alta: XSS persistente con impacto en sesiones admin, IDOR significativos.
- Media: XSS reflejado, CSRF en acciones sensibles, errores de autorización limitados.
- Baja: divulgación de información menor, problemas de configuración.
Reconocimiento
Reconocemos públicamente a quienes nos ayuden a mejorar la seguridad. Si reportás un issue válido y querés ser mencionado, lo incluiremos en una sección de agradecimientos.
Contacto técnico: info@dtsdistribuidora.com.ar · Estándar: RFC 9116 · Archivo: /.well-known/security.txt