Cada producto verificado Valoración 9+ Pagar después o en cuotas

Programa de Divulgación Responsable de SKIKK

Descripción general

En SKIKK, la seguridad de nuestros sistemas y la protección de los datos de nuestros clientes son prioridades principales.
A pesar de nuestros mejores esfuerzos, pueden existir vulnerabilidades. Por ello, damos la bienvenida a la investigación responsable de seguridad y ofrecemos este Programa de Divulgación Responsable para que los investigadores puedan reportar problemas de seguridad de forma segura y ética.

Este programa está destinado únicamente a investigación de seguridad de buena fe. No es un programa de recompensas por errores (bug bounty) y no ofrece recompensas monetarias.

Alcance

Dominios dentro del alcance

  • www.skikk.eu

Solo los sistemas propiedad de SKIKK y operados por SKIKK están dentro del alcance. Los servicios de terceros, integraciones y proveedores externos están fuera del alcance, salvo que se indique expresamente lo contrario.

 

Categorías de vulnerabilidades dentro del alcance

Estamos principalmente interesados en vulnerabilidades que puedan afectar la confidencialidad, integridad o disponibilidad de nuestros sistemas o de los datos de los clientes, incluidos, entre otros:

  • Exposición de datos sensibles

  • Problemas de autenticación y gestión de sesiones

  • Referencias directas inseguras a objetos (IDOR)

  • Vulnerabilidades de inyección (SQL, comandos, etc.)

  • Cross-Site Scripting (XSS) – almacenado o reflejado

  • Ejecución remota de código (RCE)

  • Configuración de seguridad incorrecta

  • Control de acceso deficiente

  • Traversal de directorios / rutas

  • Exposición de credenciales o secretos

 

Hallazgos fuera del alcance

Los siguientes están fuera del alcance y pueden cerrarse sin revisión adicional:

  • Ingeniería social, phishing, vishing o suplantación de identidad

  • Pruebas de Denegación de Servicio (DoS / DDoS)

  • Ataques de fuerza bruta o enumeración de cuentas

  • Resultados de escáneres automatizados sin validación manual

  • Sugerencias sobre políticas de contraseñas débiles

  • Cabeceras HTTP ausentes sin riesgo demostrado

  • Flags de cookies en cookies no sensibles

  • Clickjacking o CSRF en páginas no sensibles

  • Problemas de configuración de correo SPF / DKIM / DMARC

  • Redirecciones abiertas sin impacto en seguridad

  • Auto-explotación o problemas puramente teóricos

  • Problemas que requieren interacción de usuario poco realista

  • Vulnerabilidades ya conocidas por SKIKK

  • Reportes basados en credenciales filtradas, robadas o comprometidas

 

Reglas de participación

Al realizar pruebas, debe:

  1. Probar únicamente en cuentas de su propiedad y bajo su control

  2. Evitar acciones que degraden la disponibilidad del servicio

  3. No acceder, modificar ni eliminar datos que pertenezcan a otros usuarios

  4. No cargar malware ni cargas útiles maliciosas

  5. No explotar vulnerabilidades más allá de una prueba de concepto

  6. No realizar pruebas de seguridad física

  7. No divulgar vulnerabilidades públicamente antes de su resolución

  8. Eliminar cualquier dato sensible obtenido durante las pruebas

El incumplimiento de estas reglas puede resultar en la descalificación del programa.

 

Reportar una vulnerabilidad

Envíe los reportes por correo electrónico a:

security@skikk.eu

Su reporte debe incluir:

  • Una descripción clara del problema

  • URL(s) o endpoint(s) afectados

  • Pasos para reproducirlo

  • Prueba de concepto cuando corresponda

  • Evaluación del impacto

Los reportes incompletos o poco claros pueden ser rechazados.

 

Nuestro compromiso

Si sigue esta política, nos comprometemos a:

  • Acusar recibo de su reporte

  • Revisar y validar los problemas reportados

  • Mantenerle informado del progreso cuando corresponda

  • No emprender acciones legales por investigación de buena fe

  • Tratar su reporte de forma confidencial

Los plazos de resolución pueden variar según la gravedad y complejidad.

 

Sin recompensas

SKIKK no ofrece recompensas monetarias, bounties ni pagos por las vulnerabilidades reportadas. Este es un programa de divulgación responsable basado en colaboración de buena fe, no un programa de bug bounty remunerado.

Apreciamos profundamente el tiempo y el esfuerzo de los investigadores de seguridad, y con gusto reconocemos las contribuciones válidas cuando corresponda, pero la participación es voluntaria y no le otorga derecho a ninguna compensación.

 

Términos legales

Al enviar un reporte, usted confirma que:

  • Es el autor original del reporte

  • Concede a SKIKK el derecho a utilizar y actuar sobre el reporte

  • No divulgará la vulnerabilidad públicamente sin consentimiento por escrito

  • No utilizará el nombre ni la marca de SKIKK con fines promocionales

 

Notas finales

Este programa puede modificarse o interrumpirse en cualquier momento sin previo aviso. La participación es voluntaria y no proporciona ninguna recompensa ni compensación.

Gracias por ayudarnos a mantener seguros a SKIKK y a sus clientes.

Envío gratuito en la UE*
Devolución gratuita en 14 días
Garantía de 2 años
Ensamblado en Europa