Vulnerability Disclosure Policy

Divulgación coordinada de vulnerabilidades

Vulnerability Disclosure Policy (VDP) de Password Depot

Vigente desde: 10 de marzo de 2026

Informar de una vulnerabilidad Security Advisories
Safe Harbor Alcance Confirmación en 48 h Coordinated Disclosure
Objetivo y alcance

Objetivo de esta política

AceBIT GmbH agradece la notificación de vulnerabilidades de seguridad en Password Depot y en los servicios web relacionados con el producto que gestiona AceBIT. Esta política describe cómo los investigadores de seguridad pueden informar sobre posibles vulnerabilidades, qué reglas se aplican a la investigación de seguridad y qué compromisos asume AceBIT en el marco de una divulgación coordinada.

Las notificaciones pueden enviarse en alemán o en inglés.

Alcance

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Servicios web relacionados con el producto en password-depot.de

Incluyendo componentes de terceros en la medida en que formen parte de los productos mencionados.

Fuera de alcance

  • Entornos de producción de clientes, instalaciones personalizadas y otros sistemas de terceros
  • Servicios o infraestructuras operados por terceros que no forman parte de Password Depot
  • Ingeniería social, phishing, ataques físicos, spam, fuerza bruta, credential stuffing, escaneos masivos o pruebas de denegación de servicio
Safe Harbor

Safe Harbor

Si actúa de buena fe, cumple con esta política, limita sus pruebas al alcance descrito anteriormente y no accede, modifica, elimina o extrae datos ni afecta a servicios, renunciaremos, en la medida en que lo permita la ley, a ejercer acciones civiles derivadas de dicha investigación de seguridad.

En la medida en que esté dentro de nuestro ámbito de influencia y sea legalmente admisible, tampoco presentaremos denuncia penal en relación con dicha investigación de seguridad.

Esto no se aplica a acciones fuera del alcance, pruebas contra sistemas de clientes u otros sistemas de terceros, violaciones de la protección de datos, interrupciones operativas u otras infracciones de la legislación aplicable.

Esta política no constituye una autorización para realizar pruebas fuera del alcance aquí descrito.
Guidelines

Nuestras expectativas para los investigadores de seguridad

1 Actúe con diligencia, de buena fe, y limite sus pruebas a lo estrictamente necesario para demostrar la vulnerabilidad de forma reproducible.
2 No acceda a datos reales de clientes. Si obtiene acceso involuntario a datos personales u otros datos sensibles, detenga la prueba de inmediato e infórmenos sin demora.
3 No modifique, elimine, extraiga ni publique ningún dato.
4 No realice pruebas que puedan afectar a sistemas o servicios o degradar su disponibilidad.
5 No utilice ingeniería social, phishing ni ataques físicos, y no instale puertas traseras ni mecanismos de persistencia.
6 No comparta detalles públicamente antes de que hayamos acordado conjuntamente una fecha de divulgación coordinada.
Notificación

Cómo informar de una vulnerabilidad de seguridad

Enviar una notificación

Envíe su notificación a:

security@password-depot.de

Incluya la siguiente información

  • Producto afectado, versión, build y componente
  • Descripción de la vulnerabilidad
  • Pasos para reproducirla / prueba de concepto
  • Evaluación del impacto y la gravedad
  • Entorno de prueba, configuración y requisitos previos
  • Datos de contacto y, si lo desea, preferencia sobre la mención de su nombre
No envíe datos personales innecesarios ni grandes conjuntos de datos procedentes de entornos de producción.

Confidencialidad

Tratamos su notificación y, si usted lo desea, su identidad de forma confidencial, en la medida en que lo permita la ley. Solo publicamos su nombre con su consentimiento previo.

La divulgación de su información solo se realiza en la medida en que sea necesaria para la revisión, corrección y divulgación coordinada de la vulnerabilidad o para el cumplimiento de obligaciones legales.

Proceso

Qué sucede después de su notificación

Confirmación de recepción 48 horas Confirmamos la recepción de su notificación.
Evaluación inicial 7 días Le comunicamos si clasificamos la notificación como válida, duplicada, fuera de alcance o no reproducible en ese momento.
Actualizaciones periódicas cada 30 días Le informamos sobre el estado del proceso hasta la resolución o hasta la divulgación coordinada.
Divulgación

Divulgación coordinada y Security Advisories

Una vez que una actualización de seguridad u otra medida correctiva eficaz esté disponible, publicamos generalmente un Security Advisory para las vulnerabilidades confirmadas que requieren corrección.

Si la publicación inmediata pudiera comprometer la seguridad de nuestros usuarios, podemos retrasar la publicación hasta un momento adecuado.

Un Advisory contiene como mínimo

  • Una descripción de la vulnerabilidad
  • Los productos y versiones afectados
  • Impacto y gravedad
  • Instrucciones claras para la corrección o mitigación

Nota sobre obligaciones legales de notificación

Si una notificación indica una vulnerabilidad explotada activamente o un incidente de seguridad grave, podemos estar legalmente obligados a transmitir la información técnica necesaria a las autoridades competentes, al CSIRT correspondiente y a ENISA, así como a informar a los usuarios afectados.

Solo revelaremos su identidad en este contexto en la medida en que sea legalmente necesario.

Reconocimiento

Actualmente no ofrecemos recompensas económicas ni pagos de bug bounty, salvo que se anuncie expresamente de forma separada.

Si lo desea, le mencionaremos por su nombre después de la corrección de la vulnerabilidad en un Security Advisory o en un agradecimiento. Indíquenoslo en su notificación.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Alemania
Correo electrónico: security@password-depot.de
Informar de una vulnerabilidad