Última actualización: 22 de mayo de 2026
Damos la bienvenida a los informes de investigadores de seguridad. Esta página describe cómo reportar una vulnerabilidad y qué esperar de nuestra respuesta. El equivalente legible por máquina según RFC 9116 está en /.well-known/security.txt.
Escribe a security@upinity.com con: descripción de la vulnerabilidad, endpoint o componente afectado, pasos de reproducción y (si aplica) un proof-of-concept. Por favor no publiques vulnerabilidades antes de que tengamos la oportunidad de acusar recibo y corregirlas.
En el alcance: upinity.com (sitio marketing), app.upinity.com (aplicación SaaS), go.powerb.swiss (instancia Mautic que gestiona nuestros formularios). Fuera del alcance: social engineering o phishing al personal de POWERB, ataques de denegación de servicio o volumétricos, vulnerabilidades en servicios de terceros de los que dependemos (Stripe, proveedores de hosting — repórtalos directamente).
Acusamos recibo de nuevos reportes en 2 días laborables. Evaluación inicial y clasificación de severidad en 5 días laborables. El cronograma de fix o mitigación depende de la severidad y se comunica en nuestra respuesta de acuse.
Actualmente no operamos un programa bug bounty pagado. Los investigadores que reportan vulnerabilidades válidas de forma responsable son acreditados en un hall of fame público (con su consentimiento) y reciben una carta escrita de reconocimiento.
Buscamos alineación con los controles SOC 2 y las prácticas ISO 27001. La conformidad RGPD / nLPD suiza se detalla en nuestra Política de Privacidad. Certificados de compliance específicos pueden solicitarse a sales@upinity.com bajo NDA.
No perseguiremos legalmente a investigadores que sigan esta política, actúen de buena fe, no accedan ni modifiquen datos más allá de lo necesario para demostrar la vulnerabilidad, y no impacten la disponibilidad del servicio.