Security Policy

Ultima actualizacion: 15 de abril de 2026

PRINCIPIO

ESPOT DATA toma la seguridad seriamente.

Si encontraste una vulnerabilidad, queremos saberlo antes que nadie mas.

Trabajamos contigo para corregirla, no contra ti.

ALCANCE · QUE REPORTAR

Reporta si encuentras:

Acceso no autorizado a datos de usuarios

API keys expuestas o bypasseables

Inyeccion SQL o NoSQL

Escalacion de privilegios

Exposicion de datos en endpoints publicos

Vulnerabilidades en la autenticacion

Fugas de informacion sensible en respuestas de error

Rate limiting bypasseable

No necesitas reportar:

Datos de gasolina o precios publicos accesibles (son intencionalmente publicos)

Falta de features o bugs funcionales (usa hola@espot.mx)

Vulnerabilidades en servicios de terceros (Supabase, Vercel, MP) — reportalas directamente al tercero

COMO REPORTAR

Email: hola@espot.mx

Asunto: [SECURITY] Descripcion breve

Incluye:

Descripcion de la vulnerabilidad

Pasos para reproducirla

Impacto potencial estimado

Tu nombre/alias (opcional)

No publiques la vulnerabilidad hasta que confirmemos que fue corregida.

NUESTROS COMPROMISOS

Respuesta inicial: maximo 48 horas

Confirmacion de recepcion: el mismo dia

Evaluacion de severidad: maximo 5 dias habiles

Fix en produccion segun severidad:

Critico: maximo 72 horas

Alto: maximo 7 dias

Medio: maximo 30 dias

Bajo: proximo ciclo de mantenimiento

Notificacion al reportante cuando el fix este live

RECONOCIMIENTO

Si lo deseas, te reconocemos publicamente en:

Changelog de seguridad en espot.mx

Hall of Thanks en nuestro repo publico

Solo pedimos que no divulgues la vulnerabilidad antes de que confirmemos el fix.

MEDIDAS DE SEGURIDAD ACTUALES

Implementadas en produccion:

HTTPS/TLS en todos los dominios

Content Security Policy estricta

API keys hasheadas con bcrypt — nunca en texto plano

Row Level Security en Supabase

Rate limiting: 60 GET / 10 PATCH por minuto por key

Burst alert: >20 PATCH/5min — notificacion inmediata

Headers de seguridad: X-Frame-Options · X-Content-Type-Options · HSTS

FUERA DE ALCANCE

No realizamos pagos por bugs (bug bounty) en este momento.

El reconocimiento es publico y voluntario.