Skip to main content
satooB

Política de seguridad

Última actualización: 6 de mayo de 2026Fecha de entrada en vigor: Tras la aceptación

Tomamos en serio la seguridad de nuestros usuarios y de nuestra infraestructura, y damos la bienvenida a los informes de investigadores de seguridad independientes que actúen de buena fe. La presente política describe cómo recibimos, clasificamos y respondemos a los informes de vulnerabilidades, así como lo que esperamos a cambio de los investigadores.

Una versión legible por máquina de los datos de contacto que figuran a continuación está publicada conforme a la RFC 9116 en /.well-known/security.txt.

1. Nuestro compromiso

Nos comprometemos a :

  • proporcionar un canal claro y supervisado para los informes de vulnerabilidades ;
  • acusar recibo de los informes con prontitud y tratarlos con cuidado ;
  • coordinar los plazos de divulgación con transparencia ;
  • no emprender acciones legales contra los investigadores que cumplan esta política ;
  • reconocer a los investigadores en nuestro Hall of Fame (cuando así lo deseen).

2. Ámbito

En el ámbito :

  • La plataforma satooB — satoob.com y cualquier subdominio operado por Konatamo LLC, incluido el sitio web público de marketing, los paneles, el portal de caja del Comerciante, las superficies kiosko en tienda y las páginas públicas de aterrizaje para Bonos, cashback y Quests.
  • Las API públicas y webhooks de satooB documentados en /api/* y las server actions equivalentes expuestas por la plataforma.
  • Los repositorios de código fuente bajo la organización Konatamo en GitHub (satoob y cualquier otro repositorio público, una vez publicado).

Fuera del ámbito :

  • Los servicios de terceros de los que dependemos pero que no controlamos (Vercel, Supabase, Stripe, Cloudflare, Resend, PostHog, Mercury Bank, Hostinger, Google Workspace). Por favor, comunique las vulnerabilidades de esos servicios directamente a los equipos de seguridad de los respectivos proveedores.
  • Ataques volumétricos (denegación de servicio, denegación de servicio distribuida, inundación de capa 7).
  • Ingeniería social del personal, socios o clientes de Konatamo LLC.
  • Ataques físicos contra nuestras oficinas o las instalaciones de nuestros proveedores.
  • Informes de cabeceras de seguridad ausentes, limitaciones de tasa ausentes o configuraciones TLS ausentes que no tengan impacto explotable sobre los datos del usuario, la integridad de la cuenta o la disponibilidad de la plataforma.

3. Cómo informar

Por favor, escriba a security@satoob.com e incluya :

  1. Una descripción clara de la vulnerabilidad, incluido el endpoint o componente afectado.
  2. Pasos de reproducción — concretos, con un proof-of-concept mínimo cuando sea posible.
  3. El impacto que estima (confidencialidad / integridad / disponibilidad) y la severidad sugerida (Crítica / Alta / Media / Baja).
  4. Sus datos de contacto y cualquier alias que desee que utilicemos si lo reconocemos en el Hall of Fame.

Una clave PGP para informes cifrados podrá publicarse en el futuro en /.well-known/pgp-key.txt ; hasta entonces, le rogamos que evite incluir detalles de exploits en bruto en correos no cifrados.

4. Nuestra respuesta

Cuando recibimos un informe :

  • En un plazo de cinco (5) días hábiles — acusamos recibo de su informe.
  • En un plazo de quince (15) días hábiles — proporcionamos una primera clasificación, con una evaluación preliminar de la severidad y cualquier pregunta aclaratoria.
  • En un plazo de noventa (90) días — aspiramos a resolver la vulnerabilidad, desplegar la corrección y confirmarle el cierre del caso. Cuando la corrección requiera más tiempo (dependencias de terceros, cambio arquitectural no trivial), le mantendremos informado del avance.

5. Safe harbor

Konatamo LLC no emprenderá ni respaldará acciones legales contra usted por la investigación de seguridad realizada de buena fe y conforme a esta política, incluido (sin limitación) :

  • Acceder únicamente a los sistemas dentro del ámbito y solo a los datos mínimos necesarios para demostrar la vulnerabilidad.
  • Evitar cualquier acción que pueda afectar a otros usuarios (por ejemplo, pruebas de denegación de servicio en producción, escalada de privilegios que se desplace a otros tenants no relacionados, exfiltración de más datos de los necesarios para probar el problema).
  • Abstenerse de divulgar públicamente la vulnerabilidad antes de que hayamos tenido una oportunidad razonable de remediarla.
  • Devolver, destruir o abstenerse de divulgar cualquier dato consultado durante la investigación.

Si no está seguro de si un determinado enfoque de prueba está cubierto por el safe harbor, contáctenos en security@satoob.com antes de proceder.

6. Programa de recompensas

No operamos actualmente un programa de bug bounty remunerado. Podemos considerarlo en el futuro ; mientras tanto :

  • Reconocimiento — los informes significativos pueden ser acreditados en nuestro Hall of Fame (Sección 7) a petición del investigador.
  • Merchandising y créditos — cuando un informe conduzca a una mejora significativa de la plataforma, podemos a nuestra discreción ofrecer merchandising de Konatamo, créditos en satoPOINTS o una carta pública de reconocimiento.
  • Divulgación coordinada — estaremos encantados de coautorizar una publicación de divulgación con el investigador una vez desplegada la corrección.

7. Hall of Fame

Mantenemos esta sección para reconocer públicamente a los investigadores cuyas divulgaciones responsables han mejorado la seguridad de la plataforma satooB. La lista a continuación está actualmente vacía — esperamos poder reconocerle pronto.

8. Contacto

Dirección postal (para emplazamientos legales) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.