Seguridad

Política de seguridad

Última actualización: 20 de abril de 2026 · Conforme al estándar RFC 9116

1. Nuestra postura ante la seguridad

En GRIA SpA entendemos que la seguridad de nuestros sistemas es fundamental, especialmente porque desarrollamos infraestructura de trazabilidad para el ecosistema ambiental chileno. Valoramos el trabajo de investigadores y profesionales de seguridad que contribuyen a identificar vulnerabilidades de forma responsable.

Si descubres una vulnerabilidad en nuestros sistemas, te pedimos que nos la comuniques antes de hacerla pública, para que podamos resolverla sin exponer a nuestros usuarios.

2. Cómo reportar una vulnerabilidad

Envía tu reporte directamente a nuestro correo de seguridad:

Correo: contacto@gria.solutions
Asunto: [SECURITY] Descripción breve del hallazgo
Idioma: Español o inglés

Por favor incluye en tu reporte:

  • Descripción clara de la vulnerabilidad y su posible impacto.
  • Pasos detallados para reproducirla.
  • URL o sistema afectado.
  • Capturas de pantalla o evidencia que consideres relevante.
  • Tu nombre o alias (opcional, si deseas reconocimiento).

3. Lo que puedes esperar de nosotras

  • Acuse de recibo: dentro de 5 días hábiles desde tu reporte.
  • Evaluación inicial: dentro de 15 días hábiles.
  • Resolución: haremos nuestro mejor esfuerzo para resolver vulnerabilidades críticas en un plazo razonable según su complejidad.
  • Comunicación: te mantendremos informado del estado del proceso.
  • Reconocimiento: si lo deseas, mencionaremos tu contribución en nuestra sección de reconocimientos.

4. Alcance

Esta política aplica a los siguientes sistemas de GRIA SpA:

  • gria.solutions — sitio web corporativo.
  • beco-app-five.vercel.app — plataforma BECO ciudadanos.
  • beco-gcollector.vercel.app — plataforma BECO recolectores.
  • APIs y servicios de backend asociados a los sistemas anteriores.

Quedan fuera del alcance los servicios de terceros que utilizamos (Vercel, Cloudflare, Calendly, Anthropic). Si detectas una vulnerabilidad en alguno de ellos, repórtala directamente al proveedor correspondiente.

5. Reglas de participación

Para que tu reporte sea considerado dentro de esta política, pedimos que:

  • No accedas a datos de usuarios reales ni los descargues.
  • No modifiques ni elimines datos de nuestros sistemas.
  • No realices ataques de denegación de servicio (DoS/DDoS).
  • No ejecutes pruebas automatizadas masivas sin coordinación previa.
  • No divulgues la vulnerabilidad públicamente antes de que la resolvamos.
  • Actúes de buena fe y con el objetivo de mejorar la seguridad.

GRIA SpA se compromete a no emprender acciones legales contra investigadores que reporten vulnerabilidades de buena fe, siguiendo estas reglas.

6. Vulnerabilidades fuera del alcance

Los siguientes hallazgos generalmente no serán considerados vulnerabilidades:

  • Resultados de escaners automáticos sin evidencia de explotabilidad real.
  • Ausencia de mejores prácticas sin impacto de seguridad demostrable.
  • Ataques que requieren acceso físico al dispositivo del usuario.
  • Ataques de ingeniería social contra empleados de GRIA.
  • Problemas de seguridad en versiones antiguas de navegadores.

7. Reconocimientos

Agradecemos a todas las personas que contribuyen a la seguridad de nuestros sistemas de forma responsable. Si deseas ser mencionado aquí, indícalo en tu reporte.

Aún no hay reportes registrados. Sé el primero en contribuir. 🌱

8. Security.txt

Esta política también está disponible en formato estándar RFC 9116 en /.well-known/security.txt, para que herramientas automatizadas puedan localizarla.

GRIA SpA · RUT 78.151.051-3 · Valparaíso, Chile.
Tecnología protegida por propiedad intelectual registrada.
BECO® es una marca de GRIA SpA.

Política de privacidad · Términos y condiciones · Contacto