Divulgación coordinada, respuesta transparente
SOMA9 opera infraestructura gestionada para empresas. La investigación de seguridad continua forma parte del servicio. Publicamos indicadores técnicos, coordinamos con la comunidad y damos la bienvenida a los reportes de investigadores independientes.
Reportar una vulnerabilidad
Si ha identificado una vulnerabilidad de seguridad que afecta a los servicios de SOMA9, queremos saberlo. Antes de remitir el reporte, consulte la Política de Divulgación de Vulnerabilidades para conocer el alcance, las cláusulas de safe harbour y la cronología de divulgación coordinada.
Canales de reporte
- Correo:
security@soma9.cloud- Formulario web: soma9.cloud/security/report
- Clave PGP: soma9.cloud/.well-known/pgp.txt (recomendado para reportes sensibles)
- SLA de acuse de recibo: 72 horas desde la recepción
Compromisos
Acuse de recibo — ≤ 72 horas
Triaje y clasificación de gravedad — ≤ 7 días
Cadencia de actualizaciones — cada 30 días
Ventana de divulgación coordinada — 90 días
Reconocimiento al investigador — a solicitud
Safe harbour — documentado en la VDP
Recursos
[Política
Política de Divulgación de Vulnerabilidades
Investigación autorizada, alcance, safe harbour y cronología de divulgación coordinada.](/docs/legal/vulnerability-disclosure-policy.es.html) [RFC 9116
security.txt
Información de contacto de seguridad legible por máquina conforme a RFC 9116.](/.well-known/security.txt) [Reconocimiento
Hall of Fame
Investigadores que han realizado divulgación responsable de vulnerabilidades a SOMA9.](hall-of-fame.es.html) [Formulario
Enviar un reporte
Formulario web para envíos de vulnerabilidades, con vías cifradas con PGP y sin cifrar.](report.es.html)
Inteligencia de amenazas pública
SOMA9 publica indicadores de compromiso técnicos, reglas de detección y reportes posteriores a incidentes cuando ello favorece a la comunidad defensiva. La política de publicación se documenta en la Política de Divulgación de Vulnerabilidades, cláusula 4.
Herramientas de seguridad de código abierto publicadas por SOMA9: github.com/SOMA9-Cloud.
Fuera de alcance
Las siguientes clases de reporte no son elegibles para safe harbour y pueden cerrarse sin actuación adicional:
- Software de terceros ejecutándose en cuentas de Cliente (reportar al fabricante).
- Reportes basados exclusivamente en salida de escáner automático sin impacto demostrado.
- Vulnerabilidades teóricas sin prueba de concepto.
- Ingeniería social al personal o Clientes de SOMA9.
- Ataques físicos a las instalaciones o personal de SOMA9.
- Pruebas de denegación de servicio sin autorización escrita previa.
Contacto
- Seguridad:
security@soma9.cloud - Postal: SOMA9 Holdings, LLC. A la atención de Seguridad. 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos