Divulgación responsable

Fecha de actualización: 19/01/2026

Válido para: 5FSoftware GmbH – Plataforma 5F Cloud (5f.5fsoftware.de)

Propósito

La seguridad de nuestra plataforma en la nube es nuestra máxima prioridad. Agradecemos los avisos sobre vulnerabilidades y queremos ofrecer un proceso claro y justo para su notificación y corrección.

Contacto

Por favor, comunique las vulnerabilidades de seguridad de forma confidencial a:

Si es posible, incluya en su reporte:

  • URL/componente/versión afectados
  • descripción paso a paso (PoC)
  • evaluación del impacto (p. ej., “¿es posible acceder a datos?”)
  • registros/capturas de pantalla (preferiblemente sin datos personales)

Alcance

Esta política se aplica a:

  • nuestra plataforma en la nube (5f.5fsoftware.de), incluidas las subdominios productivos asociados
  • nuestras aplicaciones oficiales (iOS y Android)
  • nuestro sitio web (5fsoftware.de)

Quedan fuera de alcance:

  • entornos no productivos, como sistemas de desarrollo, prueba o staging
  • sistemas, servicios o cuentas de terceros, así como presencias externas (p. ej., redes sociales)

Si no está seguro de si algo está dentro del alcance, por favor pregúntenos brevemente antes de actuar.

Actuación permitida (buena fe)

Se permiten los avisos y las pruebas cuidadosas realizadas de buena fe, bajo las siguientes condiciones:

  • No acceda a datos de terceros ni los modifique.
  • No afecte al funcionamiento (sin interrupciones/sobrecarga).
  • Realice únicamente pruebas mínimamente invasivas (lo mínimo posible, lo necesario).
  • Notifique la vulnerabilidad con prontitud y de forma confidencial a través del canal indicado.

Actividades no permitidas

En particular, no se permite:

  • Denegación de servicio (DoS/DDoS), pruebas de carga/estrés
  • adivinación de contraseñas, credential stuffing o intentos masivos automatizados
  • ingeniería social, phishing o explotación del factor humano
  • leer, modificar, eliminar o exfiltrar datos (especialmente datos personales)
  • instalar persistencia/puertas traseras o mantener accesos
  • realizar pruebas fuera del alcance definido (scope)
  • publicar detalles antes de que hayamos tenido la oportunidad de corregir (véase “Divulgación coordinada”)

Si accidentalmente se encuentra con datos de terceros, deténgase de inmediato y avísenos sin demora.

Sin acciones legales por nuestra parte

Si cumple esta política y actúa de buena fe, 5FSoftware GmbH:

  • no iniciará acciones civiles contra usted, y
  • no presentará denuncia penal, en la medida en que ello sea necesario para la persecución penal.

Esta garantía no se aplica si:

  • se afecta deliberadamente a sistemas
  • se accede a datos de terceros, se modifican o se exfiltran
  • se formulan exigencias de extorsión o “ransom”
  • o las pruebas van claramente más allá de lo necesario para la verificación

Nota: Esta política no puede excluir procedimientos por parte de las autoridades (p. ej., en caso de especial interés público); describe nuestro proceder como proveedor.

Tratamiento de datos y confidencialidad

Evite recopilar datos personales. Si, para la evaluación, fuera técnicamente inevitable, limítese al mínimo y no nos envíe contenido sensible. Tratamos los reportes de forma confidencial y los utilizamos para el análisis, la corrección y la prevención.

Respuesta y divulgación coordinada

  • Por lo general, confirmamos la recepción de su reporte en un plazo de 3 días laborables.
  • Le informaremos sobre el estado, en la medida de lo posible.
  • Publique los detalles solo después de nuestra respuesta y corrección, o tras coordinarlo con nosotros.
  • Como orientación, se aplica un plazo de 90 días desde la recepción de su reporte; en casos complejos, el plazo puede ampliarse de común acuerdo.

Bug bounty

Actualmente no ofrecemos un programa de bug bounty. Aun así, agradecemos las divulgaciones responsables.