A vulnerability disclosure policy (VDP), also referred to as a responsible disclosure policy, describes how an organization will handle reports of vulnerabilities submitted by ethical hackers. A VDP must thus be easily identifiable via a simple way, a security.txt notice.

# ICEID - Instituto de Capacitación en Ciberseguridad e Inteligencia Digital

# Security Policy and Vulnerability Disclosure (RFC 9116)



# Contacto principal para reportes de seguridad

Contact: mailto:security@iceid.mx

Contact: https://iceid.mx/contacto



# Idiomas preferidos para comunicación

Preferred-Languages: es, en



# URL de política de seguridad completa

Policy: https://iceid.mx/politica-seguridad



# Página de reconocimientos (Hall of Fame)

Acknowledgments: https://iceid.mx/hall-of-fame



# Fecha de expiración de este archivo (debe renovarse anualmente)

Expires: 2026-12-31T23:59:59.000Z



# Firma digital para verificar autenticidad

# gpg --clearsign security.txt

# Encryption: https://iceid.mx/pgp-key.asc



# Alcance de la política

# Aplicable a todos los subdominios y aplicaciones de ICEID

Canonical: https://iceid.mx/.well-known/security.txt



# -------------------------------------------------------------------

# POLÍTICA DE DIVULGACIÓN RESPONSABLE

# -------------------------------------------------------------------

#

# Agradecemos a los investigadores de seguridad que reporten 

# vulnerabilidades de forma responsable. 

#

# PROCESO:

# 1. Enviar reporte detallado a security@iceid.mx

# 2. Esperar confirmación (máximo 24 horas)

# 3. Coordinar divulgación pública (90 días típicamente)

#

# NO REALIZAR:

# - Ataques de denegación de servicio (DoS/DDoS)

# - Ingeniería social contra empleados

# - Acceso no autorizado a datos de clientes

# - Destrucción de datos

#

# RECOMPENSAS:

# - Vulnerabilidades críticas: Reconocimiento público + certificación

# - Vulnerabilidades altas: Reconocimiento público

# - Todas las vulnerabilidades: Mención en Hall of Fame

#

# -------------------------------------------------------------------

# VULNERABILIDADES EN ALCANCE

# -------------------------------------------------------------------

#

# ✅ ALTA PRIORIDAD:

# - Inyección SQL, XSS, CSRF

# - Autenticación rota / Bypass de autorización

# - Exposición de datos sensibles

# - XXE, SSRF, Path Traversal

# - Remote Code Execution

# - Deserialización insegura

#

# ✅ MEDIA PRIORIDAD:

# - Clickjacking sin impacto real

# - Información sensible en respuestas HTTP

# - Configuraciones inseguras

# - Validación de entrada débil

#

# ❌ FUERA DE ALCANCE:

# - Ataques de fuerza bruta con rate limiting activo

# - Vulnerabilidades en librerías de terceros (reportar a vendor)

# - Issues de SPF/DKIM/DMARC sin explotación

# - Clickjacking en páginas públicas sin funcionalidad sensible

#

# -------------------------------------------------------------------

# SAFE HARBOR

# -------------------------------------------------------------------

#

# ICEID considera actividades de seguridad autorizadas bajo esta 

# política como "conducta autorizada" y no iniciará acciones legales

# contra investigadores que:

#

# 1. Reporten vulnerabilidades de buena fe

# 2. Eviten violación de privacidad o destrucción de datos

# 3. No exploten vulnerabilidades más allá de la PoC mínima

# 4. No publiquen vulnerabilidades antes de su resolución

# 5. Respeten los límites de rate limiting

#

# -------------------------------------------------------------------

# AGRADECIMIENTOS

# -------------------------------------------------------------------

#

# Gracias a todos los investigadores que han contribuido a mejorar

# la seguridad de ICEID. Su trabajo protege a nuestra comunidad.

#

# Ver lista completa: https://iceid.mx/hall-of-fame

#

# -------------------------------------------------------------------



# Este archivo cumple con RFC 9116 (IETF Standard)

# Generado: 2025-11-20

# Versión: 1.0