liftstack.ai
EN / ES
← Volver al inicio

Política de Divulgación Responsable

Última actualización: 2026-05-01T00:00:00.000Z

Esta es una plantilla v1 que requiere revisión legal antes del lanzamiento. Consulte con un abogado calificado para obtener asesoramiento legal específico para su situación.

1. Nuestro Compromiso

LIFTSTACK.AI toma la seguridad con seriedad. Como firma de ingeniería de seguridad, nos exigimos el mismo estándar que aplicamos en los proyectos de cliente. Si descubre una vulnerabilidad en nuestros sistemas, queremos saberlo. Nos comprometemos a trabajar con usted de buena fe para entender y remediar el problema.

2. Alcance

Dentro del Alcance

Los siguientes sistemas y activos están dentro del alcance de esta política:

  • El sitio web liftstack.ai y todos sus subdominios (*.liftstack.ai)
  • Cualquier instancia de automatización n8n que operemos y expongamos en URLs públicas
  • Cualquier agente de IA o endpoint de automatización público que despleguemos bajo el dominio liftstack.ai
  • Endpoints de API operados por LIFTSTACK.AI

Si no está seguro de si un objetivo está dentro del alcance, escriba a [email protected] antes de probar. Lo confirmaremos.

Fuera del Alcance

Los siguientes están explícitamente fuera del alcance y no deben ser probados:

  • Subprocesadores externos (Cloudflare, Vercel, DigitalOcean, OpenAI, Anthropic, ElevenLabs, Resend, Cal.com, HubSpot, Notion). Reporte esos problemas directamente al proveedor correspondiente.
  • Ataques de ingeniería social contra el personal o los contratistas de LIFTSTACK.AI
  • Ataques de seguridad física
  • Ataques de denegación de servicio y denegación de servicio distribuida
  • Ataques de fuerza bruta contra endpoints de autenticación
  • Salidas de escáneres automatizados enviadas sin un impacto verificado y demostrable
  • Vulnerabilidades en sistemas o aplicaciones que requieran acceso privilegiado o de insider para ser descubiertas
  • Hallazgos puramente teóricos y sin vía de explotación realista

3. Cómo Reportar

Correo: [email protected]

Opcional: Envío Cifrado

Si su reporte contiene detalles sensibles, puede cifrarlo utilizando nuestra clave PGP.

Huella de la clave PGP: [PGP fingerprint - to be published]

La clave pública está disponible en liftstack.ai/.well-known/security.txt.

Qué Incluir

Un reporte útil contiene:

  • Una descripción clara de la vulnerabilidad y su impacto potencial
  • El sistema o URL afectado
  • Instrucciones de reproducción paso a paso
  • Código de prueba de concepto o capturas de pantalla cuando sea aplicable
  • Cualquier payload de solicitud y respuesta relevante (con datos personales de terceros redactados cuando sea posible)

Cuanto más detalle proporcione, más rápido podremos hacer el triage y remediar.

4. Qué Pedimos a los Investigadores

Para calificar al safe harbor y al reconocimiento bajo esta política, usted debe:

  • Actuar de buena fe y con la intención de mejorar la seguridad.
  • Limitar sus pruebas a confirmar la existencia y el impacto de una vulnerabilidad. No acceda, copie, modifique, ni exfiltre datos de usuarios más allá del mínimo necesario para demostrar el problema.
  • No destruir, corromper, ni alterar datos.
  • No interrumpir nuestros servicios ni degradar el rendimiento para otros usuarios.
  • No probar sistemas fuera del alcance.
  • Otorgarnos 90 días desde la fecha de su reporte para remediar el problema antes de cualquier divulgación pública. Si el problema es complejo y está dispuesto a extender esta ventana, contáctenos y acordaremos un cronograma en conjunto.
  • Reportar únicamente a [email protected]. No divulgue los hallazgos públicamente, a terceros, ni a nuestros clientes antes de la divulgación coordinada.

5. Qué Prometemos a Cambio

  • Acuse de recibo dentro de las 72 horas: Confirmaremos la recepción de su reporte dentro de las 72 horas.
  • Actualización de estado dentro de los 14 días: Brindaremos una evaluación inicial y un cronograma de remediación dentro de los 14 días hábiles desde la recepción.
  • Sin acciones legales: No iniciaremos ni apoyaremos acciones legales contra usted por investigación de seguridad realizada de buena fe bajo esta política, dentro del alcance, y en cumplimiento de las reglas anteriores.
  • Crédito: Si lo solicita, lo acreditaremos por su nombre (o alias) en nuestro hall of fame público de seguridad al momento de la divulgación o confirmación del parche.
  • Elegibilidad para bounty: Podemos, a nuestra discreción, ofrecer una recompensa monetaria por hallazgos válidos de alta severidad. Somos una agencia de escala SMB, no un unicornio con financiamiento. No garantizamos pago alguno. Si se ofrece un bounty, lo comunicaremos directamente después del triage.

6. Safe Harbor

LIFTSTACK.AI considera que la investigación de seguridad realizada bajo esta política constituye acceso autorizado bajo las leyes aplicables de fraude y abuso informático. No remitiremos los reportes a las fuerzas del orden por actividades realizadas de buena fe, dentro del alcance, y de acuerdo con esta política.

Este safe harbor se aplica únicamente a [LIFTSTACK.AI legal entity]. No vincula a plataformas de terceros, subprocesadores, ni otras entidades.

Si tiene dudas sobre si una actividad planificada cae dentro de esta política, consúltenos en [email protected] antes de proceder.

7. Divulgación Coordinada

Seguimos un modelo de divulgación coordinada con un embargo predeterminado de 90 días desde la fecha de envío del reporte. Después de 90 días, o después de que se confirme un parche, lo que ocurra primero, queda libre de publicar sus hallazgos. Le pedimos que nos notifique 7 días antes de la publicación para que podamos revisar el borrador y confirmar que no se incluya inadvertidamente datos sensibles de clientes.

Podemos solicitar una extensión para problemas complejos o sistémicos. Las extensiones requieren acuerdo mutuo por escrito.

8. Actualizaciones de esta Política

Podemos actualizar esta política a medida que nuestra infraestructura evoluciona. La fecha de “Última actualización” en la parte superior de esta página refleja la versión actual. Si envió un reporte bajo una versión previa de esta política, los términos vigentes al momento del envío se aplican.

9. Contacto

[email protected]

[email protected] (solo consultas generales, los reportes de seguridad enviados a esta dirección serán redirigidos y pueden demorarse)