Política de Divulgación de Vulnerabilidades

Documento
VDP-2026.1
Fecha de entrada en vigor
[Pendiente publicación]
Titular
SOMA9 Holdings, LLC
Contacto
security@soma9.cloud

1. Finalidad

SOMA9 Holdings, LLC (SOMA9, nosotros, nuestro) opera servicios de infraestructura gestionada para clientes empresariales. La investigación continua de seguridad es una función operativa esencial de dichos servicios. La presente política establece el marco bajo el cual SOMA9 lleva a cabo investigación de seguridad, publica indicadores técnicos de compromiso (IoC) y se relaciona con la comunidad de seguridad para asistir a defensores.

Esta política está dirigida a:

  • Clientes de SOMA9, que deben entender cómo se tratan sus datos cuando se detecta actividad maliciosa
  • Investigadores de seguridad externos, invitados a reportar vulnerabilidades que afecten a los servicios de SOMA9 o a clientes alojados en su infraestructura
  • Reguladores y asesores jurídicos que evalúan la postura de cumplimiento de SOMA9
  • Fuerzas y cuerpos de seguridad, equipos pares de respuesta a incidentes (CSIRT) y consumidores de inteligencia de amenazas que reciben informes de SOMA9

2. Ámbito

Esta política se aplica a:

  • Toda la infraestructura operada por SOMA9, incluidos entornos de hosting, paneles de control, sistemas de correo, equipamiento de red y servicios de soporte
  • Todo el software desarrollado por SOMA9 expuesto externamente, incluidas aplicaciones web, APIs, adaptadores de integración y paneles de cliente final
  • Todos los informes de inteligencia de amenazas, advisories de vulnerabilidades y artefactos de investigación de seguridad producidos por personal o contratistas de SOMA9

Esta política no se aplica a productos de software de terceros operados por clientes de SOMA9 dentro de sus propias cuentas de hosting (por ejemplo, plugins WordPress instalados por el cliente, aplicaciones PHP de terceros). Las vulnerabilidades en dicho software de terceros deben reportarse al fabricante correspondiente.

3. Actividades de investigación autorizadas

El personal y los contratistas autorizados de SOMA9 están facultados, en el curso ordinario de la operación de los servicios, a:

  • Inspeccionar logs, tráfico de red, sistemas de archivos y estado de procesos en la infraestructura gestionada por SOMA9 con el fin de identificar actividad maliciosa
  • Analizar artefactos asociados a actividad maliciosa confirmada o sospechada, incluidas muestras de malware, herramientas de atacantes y comunicaciones de mando y control
  • Reconstruir cadenas de ataque y documentar tácticas, técnicas y procedimientos (TTP)
  • Redactar reglas de detección, incluidas pero no limitadas a reglas Sigma, YARA y Suricata
  • Mantener repositorios de inteligencia de amenazas, tanto internos como de cara al exterior
  • Coordinarse con CSIRT pares, equipos de abuso de proveedores upstream y fuerzas del orden
  • Publicar hallazgos técnicos en las condiciones descritas en la sección 4

Estas actividades forman parte de la operación normal del servicio y no requieren autorización adicional más allá de la presente política.

4. Publicación de indicadores

SOMA9 podrá publicar indicadores técnicos relacionados con actividad maliciosa observada en su infraestructura en beneficio de la comunidad de seguridad. La publicación podrá realizarse a través de cualquiera de los siguientes canales:

  • Portal de documentación de SOMA9 en docs.soma9.cloud
  • Repositorios públicos de código fuente bajo titularidad de SOMA9 en GitHub o plataformas equivalentes
  • Feeds de inteligencia de amenazas en formatos estándar incluyendo STIX 2.1, MISP y AbuseIPDB
  • Comunicación directa con CSIRT pares y proveedores upstream
  • Ponencias en conferencias, posts técnicos y publicaciones impresas

El material publicado se limita a indicadores técnicos. En particular, SOMA9 podrá publicar:

  • Direcciones IP, dominios, URLs y números de sistema autónomo (ASN) del atacante
  • Hashes criptográficos de artefactos de malware
  • Direcciones de wallets de criptomonedas asociadas a monetización delictiva
  • Código fuente o salida descompilada de herramientas del atacante
  • Archivos de configuración, scripts y artefactos de persistencia dejados por atacantes
  • Firmas de comportamiento de red y características temporales
  • Reconstrucciones cronológicas anonimizadas de cadenas de ataque
  • Reglas de detección en formatos estándar

El material publicado excluye:

  • Identidades de clientes, nombres de cuenta u otros metadatos identificativos
  • Datos de cliente o cualquier porción de los mismos
  • Topología de la infraestructura de SOMA9, hostnames internos, direcciones IP internas, versiones de software o detalles de configuración que pudieran asistir a un futuro atacante
  • Credenciales, secretos o material de claves criptográficas de cualquier parte
  • Información que permita identificar a empleados o contratistas concretos de SOMA9 o de sus clientes

5. Reconocimiento y licencia del Cliente

Al utilizar los servicios de SOMA9, el cliente reconoce y acepta lo siguiente:

Licencia otorgada por el Cliente

El Cliente reconoce que SOMA9 lleva a cabo investigación continua de seguridad como componente esencial de sus servicios. El Cliente otorga a SOMA9 una licencia no exclusiva, perpetua, mundial y libre de regalías para identificar, analizar, documentar, conservar y compartir con la comunidad de seguridad los indicadores técnicos asociados a actividad maliciosa que afecte a la infraestructura de SOMA9. Esta licencia se extiende a los indicadores que pudieran haberse depositado en entornos controlados por el Cliente. La licencia se limita a indicadores técnicos anonimizados según se definen en la sección 4 y no autoriza a SOMA9 a compartir información identificativa del Cliente, datos del Cliente o credenciales del Cliente.

Esta licencia constituye contraprestación por la inversión continua de SOMA9 en investigación de seguridad, que beneficia directamente a todos los clientes mediante la detección más rápida de amenazas emergentes y tiempos de respuesta reducidos.

6. Notificación externa

SOMA9 invita a investigadores independientes de seguridad a reportar las vulnerabilidades que identifiquen en los servicios de SOMA9. Los reportes se enviarán a:

Canal de notificación

Correo: security@soma9.cloud
Clave PGP: publicada en soma9.cloud/.well-known/security.txt
Plazo de acuse de recibo: 72 horas desde la recepción

Para facilitar el triage, los reportes deben incluir:

  • Descripción de la vulnerabilidad y su impacto potencial
  • Pasos necesarios para reproducir el problema
  • Servicio o componente de SOMA9 afectado
  • Opcional: propuesta de remediación
  • Datos de contacto del investigador para comunicaciones de seguimiento

SOMA9 acusará recibo en un plazo de setenta y dos horas, comunicará un calendario de remediación y otorgará crédito al investigador en el advisory resultante salvo que se solicite anonimato.

7. Puerto seguro

SOMA9 no emprenderá acciones civiles ni iniciará denuncias ante las autoridades contra investigadores que cumplan con la siguiente conducta de buena fe:

  • Limitar las pruebas a vulnerabilidades que afecten a servicios propiedad de SOMA9 y respetar los límites de los datos de cliente
  • No acceder, modificar, exfiltrar ni destruir datos de cliente
  • Utilizar únicamente la mínima interacción necesaria para demostrar la vulnerabilidad
  • Conceder a SOMA9 una oportunidad razonable de remediar antes de la divulgación pública (véase la sección 8)
  • Cumplir las leyes aplicables de las jurisdicciones donde se realice la investigación

Este puerto seguro no se extiende a actos que vulneren los derechos de clientes, terceros o la legislación aplicable. Los investigadores que actúan de buena fe siguen siendo responsables de comprender los marcos jurídicos que rigen sus actividades.

8. Plazos de divulgación coordinada

SOMA9 sigue una ventana de divulgación coordinada de noventa días para vulnerabilidades reportadas por investigadores externos, contada desde la fecha de acuse de recibo:

  • Día 0: recepción del reporte; acuse de recibo en setenta y dos horas
  • Día 7: triage completado; severidad clasificada; responsable de remediación asignado
  • Día 30: actualización de estado al investigador
  • Día 60: despliegue de remediación programado o completado; actualización de estado
  • Día 90: advisory público y reconocimiento al investigador

Las vulnerabilidades críticas que afecten a la integridad de datos de cliente podrán someterse a divulgación acelerada. Los investigadores podrán solicitar divulgación pública anticipada o aplazada; SOMA9 atenderá solicitudes razonables compatibles con la protección de los clientes.

9. Fuera de alcance

Los siguientes tipos de reporte no son elegibles para puerto seguro y podrán cerrarse sin acción adicional:

  • Cuestiones que afectan a navegadores obsoletos (más de dos versiones mayores por detrás del lanzamiento actual)
  • Vulnerabilidades autoinfligidas como enumeración de usuarios en estados no autenticados sin amplificación
  • Reportes basados exclusivamente en salida de escáneres automáticos sin impacto demostrado
  • Vulnerabilidades teóricas sin prueba de concepto
  • Cuestiones de servicios de terceros no operados por SOMA9
  • Ingeniería social contra personal o clientes de SOMA9
  • Ataques físicos contra instalaciones o personal de SOMA9
  • Pruebas de denegación de servicio distribuida sin autorización previa por escrito

10. Ley aplicable

La presente política se rige por las leyes del Estado de Wyoming, Estados Unidos de América. Las controversias derivadas de esta política se resolverán exclusivamente ante los tribunales estatales y federales situados en Laramie County, Wyoming. Las partes aceptan someterse a la jurisdicción personal de dichos tribunales.

Cuando esta política intersecte con leyes imperativas de protección al consumidor de otras jurisdicciones, dichas leyes serán de aplicación únicamente en la medida en que no puedan renunciarse legalmente. Las disposiciones de esta política que se consideren inejecutables en una jurisdicción concreta se modificarán en la mínima medida necesaria preservando la intención original.

11. Revisiones

SOMA9 podrá revisar esta política en cualquier momento. Las revisiones sustanciales se comunicarán a través del portal del cliente de SOMA9 en panel.soma9.cloud al menos treinta días antes de su entrada en vigor, salvo que se requiera un plazo más breve para responder a una amenaza activa. El uso continuado de los servicios de SOMA9 tras la fecha efectiva de una revisión constituye aceptación de la política revisada.

La versión canónica vigente de esta política se publica en soma9.cloud/legal/vulnerability-disclosure-policy. Las versiones anteriores se conservan en el archivo documental en soma9.cloud/legal/archive.

12. Contacto

Para consultas relativas a esta política:

  • Correo: security@soma9.cloud
  • Postal: SOMA9 Holdings, LLC. A/A: Security. 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos

Pendiente revisión legal

Este borrador se facilita exclusivamente para revisión interna. Antes de su publicación, este documento debe ser revisado por asesoría jurídica cualificada con experiencia en regulación de servicios tecnológicos en Wyoming, la Unión Europea (artículo 32 del RGPD) y las leyes estatales de notificación de brechas aplicables. El borrador está estructurado para facilitar la revisión por la asesoría y minimizar el tiempo necesario de finalización.