Seguridad y divulgación responsable

En Intergrid (Opengea SCCL) nos tomamos en serio la seguridad de nuestros servicios y la protección de los datos de nuestros clientes. Agradecemos a la comunidad de investigadores e investigadoras que nos ayuden a mejorar comunicándonos de forma responsable las posibles vulnerabilidades que descubran.

1. Cómo reportar una vulnerabilidad

Si has detectado una posible vulnerabilidad de seguridad, escríbenos a sistemes@intergrid.cat. Para ayudarnos a reproducir y resolver el problema, incluye si puedes:

  • Una descripción clara de la vulnerabilidad y de su impacto potencial.
  • Los pasos para reproducirla (URL o endpoint afectado, parámetros, peticiones de ejemplo).
  • Cualquier prueba de concepto, captura o registro que lo ilustre.

Acusaremos recibo de tu informe en un plazo de 5 días laborables y te mantendremos informado del estado de la resolución.

2. Compromiso con la investigación de buena fe (puerto seguro)

Si investigas de buena fe y respetas esta política, no emprenderemos acciones legales contra ti. Para acogerte a ella, es necesario que:

  • No accedas, modifiques ni descargues datos que no sean tuyos más allá del mínimo imprescindible para demostrar la vulnerabilidad.
  • No degrades el servicio: nada de ataques de denegación de servicio (DoS), fuerza bruta masiva ni envío masivo de peticiones.
  • No divulgues públicamente el problema hasta que lo hayamos corregido y lo acordemos conjuntamente (divulgación coordinada).
  • Elimines cualquier dato al que hayas podido acceder una vez nos hayas enviado el informe.

Esta protección no ampara acciones que perjudiquen a nuestros usuarios, vulneren su privacidad o incumplan la legislación vigente.

3. Fuera de alcance

Generalmente no consideramos dentro del alcance de esta política:

  • Informes puramente teóricos, sin impacto de seguridad demostrable.
  • Vulnerabilidades en servicios de terceros que no controlamos.
  • Ataques de ingeniería social a nuestro personal o clientes.
  • Ataques físicos contra nuestras instalaciones o equipos.

4. Divulgación coordinada

Trabajamos para resolver las vulnerabilidades reportadas con la máxima diligencia. Te pedimos que nos des un tiempo razonable para corregir el problema antes de hacerlo público, y nos comprometemos a mantenerte informado y a coordinar contigo el momento de la divulgación.

5. Reconocimiento

Somos una organización pequeña y sin ánimo de lucro, y no disponemos de un programa de recompensas económicas formal. Aun así, valoramos mucho la divulgación responsable y, según el caso, ofrecemos:

  • Reconocimiento público en esta página (si la persona lo desea).
  • Una carta de referencia sobre el hallazgo y la conducta responsable.
  • Un honorario simbólico de agradecimiento, en función de la gravedad y de nuestro margen como entidad sin ánimo de lucro.

Queremos agradecer a todas las personas que nos han ayudado a hacer nuestros servicios más seguros.

Personas reconocidas:

  • b4d1t — divulgación responsable de una vulnerabilidad de inyección SQL · 05/2026

Contacto de seguridad

Email: sistemes@intergrid.cat

security.txt

Última actualización: 02/06/2026