Seguretat i divulgació responsable

A Intergrid (Opengea SCCL) ens prenem seriosament la seguretat dels nostres serveis i la protecció de les dades dels nostres clients. Agraïm a la comunitat d'investigadors i investigadores que ens ajudin a millorar comunicant-nos de manera responsable les possibles vulnerabilitats que descobreixin.

1. Com reportar una vulnerabilitat

Si has detectat una possible vulnerabilitat de seguretat, escriu-nos a sistemes@intergrid.cat. Per ajudar-nos a reproduir i resoldre el problema, inclou si pots:

  • Una descripció clara de la vulnerabilitat i del seu impacte potencial.
  • Els passos per reproduir-la (URL o endpoint afectat, paràmetres, peticions d'exemple).
  • Qualsevol prova de concepte, captura o registre que ho il·lustri.

Acusarem recepció del teu informe en un termini de 5 dies laborables i et mantindrem informat de l'estat de la resolució.

2. Compromís amb la investigació de bona fe (port segur)

Si investigues de bona fe i respectes aquesta política, no emprendrem accions legals contra tu. Per acollir-t'hi, cal que:

  • No accedeixis, modifiquis ni descarreguis dades que no siguin teves més enllà del mínim imprescindible per demostrar la vulnerabilitat.
  • No degradis el servei: res d'atacs de denegació de servei (DoS), força bruta massiva ni enviament massiu de peticions.
  • No divulguis públicament el problema fins que l'haguem corregit i ho acordem conjuntament (divulgació coordinada).
  • Eliminis qualsevol dada a la qual hagis pogut accedir un cop ens hagis enviat l'informe.

Aquesta protecció no empara accions que perjudiquin els nostres usuaris, vulnerin la seva privacitat o incompleixin la legislació vigent.

3. Fora d'abast

Generalment no considerem dins l'abast d'aquesta política:

  • Informes purament teòrics, sense impacte de seguretat demostrable.
  • Vulnerabilitats en serveis de tercers que no controlem.
  • Atacs d'enginyeria social al nostre personal o clients.
  • Atacs físics contra les nostres instal·lacions o equips.

4. Divulgació coordinada

Treballem per resoldre les vulnerabilitats reportades amb la màxima diligència. Et demanem que ens donis un temps raonable per corregir el problema abans de fer-lo públic, i ens comprometem a mantenir-te informat i a coordinar amb tu el moment de la divulgació.

5. Reconeixement

Som una organització petita i sense ànim de lucre, i no disposem d'un programa de recompenses econòmiques formal. Tot i així, valorem molt la divulgació responsable i, segons el cas, oferim:

  • Reconeixement públic en aquesta pàgina (si la persona ho desitja).
  • Una carta de referència sobre la troballa i la conducta responsable.
  • Un honorari simbòlic d'agraïment, en funció de la gravetat i del nostre marge com a entitat sense ànim de lucre.

Volem agrair a totes les persones que ens han ajudat a fer els nostres serveis més segurs.

Persones reconegudes:

  • b4d1t — divulgació responsable d'una vulnerabilitat d'injecció SQL · 05/2026

Contacte de seguretat

Email: sistemes@intergrid.cat

security.txt

Azken eguneraketa: 02/06/2026