Ir al contenido
Seguridad

Política de seguridad

Divulgación responsable, gestión de vulnerabilidades y nuestro compromiso con la seguridad de sus datos.

Última actualización: mayo de 2026

01 Política de divulgación responsable

InfoPeak valora a la comunidad de investigación en seguridad y acoge la divulgación responsable de vulnerabilidades. Si descubre un problema de seguridad en cualquier servicio de InfoPeak, le animamos a informarnos.

Informar de una vulnerabilidad

security@infopeak.io

Para divulgaciones sensibles, solicite nuestra clave pública PGP.

02 Ámbito

Los siguientes servicios y activos están dentro del ámbito de la divulgación responsable:

  • infopeak.io - aplicación principal y sitio web
  • auth.infopeak.io - servicio de autenticación
  • InfoPeak Pass - extensión del navegador
  • InfoPeak VPN - aplicaciones móviles y de escritorio

03 Directrices de divulgación

Pedimos a los investigadores de seguridad que sigan estas directrices:

  • Proporcione suficientes detalles para reproducir la vulnerabilidad.
  • No acceda, modifique ni elimine datos de otros usuarios.
  • No realice ataques de denegación de servicio ni ingeniería social.
  • Permítanos un plazo razonable (90 días) para resolver el problema antes de una divulgación pública.

04 Plazos de respuesta

72 horas

Acusamos recibo de su informe.

14 días

Proporcionamos una evaluación inicial y el plazo previsto de resolución.

90 días

Nuestro objetivo es resolver todas las vulnerabilidades confirmadas en este plazo.

05 Safe Harbor

InfoPeak no emprenderá acciones legales contra investigadores de seguridad que descubran e informen vulnerabilidades de buena fe conforme a esta política. Consideramos autorizada la investigación en seguridad realizada bajo esta política y no iniciaremos reclamaciones legales por eludir medidas tecnológicas cuando la investigación se realice conforme a esta política.

06 Respuesta a incidentes y notificación de brechas

En caso de incidente de seguridad o brecha de datos, InfoPeak sigue estos procedimientos conforme a la Directiva NIS2 (UE) 2022/2555 y los artículos 33 y 34 del RGPD:

  • En 24 horas: Alerta temprana al CSIRT nacional competente (equipo de respuesta a incidentes de seguridad informática).
  • En 72 horas: Notificación completa del incidente a la autoridad de control (RGPD) y al CSIRT (NIS2), incluida evaluación del alcance y medidas de mitigación.
  • Sin dilación indebida: Los usuarios afectados serán notificados por correo electrónico con información clara sobre la naturaleza de la brecha, los datos afectados, las medidas adoptadas y las acciones recomendadas.
  • En 1 mes: Se presenta un informe final a las autoridades competentes con análisis de causa raíz y medidas preventivas.

07 Arquitectura de seguridad

InfoPeak emplea las siguientes medidas de seguridad como parte de nuestro compromiso con la Ley de Ciberresiliencia (CRA):

  • Cifrado en reposo: AES-256-CBC para todos los datos de usuario almacenados.
  • Cifrado en tránsito: TLS 1.3 para todas las conexiones.
  • Arquitectura de conocimiento cero: Las claves de cifrado personales se derivan en el cliente. InfoPeak no puede acceder a su contenido cifrado.
  • Alojamiento solo en la UE: Toda la infraestructura está ubicada en la Unión Europea.
  • Actualizaciones de seguridad regulares: Las dependencias y la infraestructura se supervisan y actualizan de forma continua.