Para empresas Para particulares
Vulnerability Disclosure Policy

Divulgación coordinada de vulnerabilidades

Coordinated Vulnerability Disclosure / VDP para Password Depot

Última actualización: 10 de marzo de 2026

Notificar una vulnerabilidad Security Advisories
Safe Harbor Ámbito de aplicación Confirmación en 48 h Coordinated Disclosure
Objeto y ámbito de aplicación

Objeto de esta política

AceBIT GmbH agradece la comunicación de vulnerabilidades en Password Depot y en los servicios web relacionados con el producto y gestionados por AceBIT. Esta política describe cómo los investigadores de seguridad pueden informar sobre posibles vulnerabilidades, qué normas se aplican a la investigación de seguridad y qué compromisos asume AceBIT en el marco de una divulgación coordinada.

Las notificaciones pueden enviarse en alemán o en inglés.

Ámbito de aplicación

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Extensión del navegador (Chrome, Edge, Firefox)
  • Aplicaciones móviles (iOS, Android)
  • Servicios web relacionados con el producto en password-depot.de

Incluidos los componentes de terceros, siempre que formen parte de los productos mencionados.

No incluido

  • Entornos productivos de clientes, instalaciones específicas de clientes y otros sistemas de terceros
  • Servicios o infraestructuras operados por terceros que no formen parte de Password Depot
  • Ingeniería social, phishing, ataques físicos, spam, fuerza bruta, credential stuffing, escaneos masivos o pruebas de denegación de servicio
Safe Harbor

Safe Harbor

Si actúa de buena fe, cumple esta política, limita sus pruebas al ámbito de aplicación descrito anteriormente y no accede, modifica, elimina ni exfiltra datos, ni afecta a los servicios, renunciaremos –en la medida en que la ley lo permita– a ejercer acciones civiles por esta investigación de seguridad.

En la medida en que esté dentro de nuestro ámbito de control y la ley lo permita, tampoco presentaremos denuncia penal por este tipo de investigación de seguridad.

Esto no se aplica a actuaciones fuera del ámbito de aplicación, a pruebas contra sistemas de clientes o de otros terceros, a infracciones de protección de datos, interrupciones operativas o cualquier otro incumplimiento de la legislación aplicable.

Esta política no constituye una autorización para realizar pruebas fuera del alcance aquí descrito.
Directrices

Nuestras expectativas para los investigadores de seguridad

1 Actúe con diligencia, de buena fe y limite sus pruebas a lo estrictamente necesario para demostrar la vulnerabilidad de forma verificable.
2 No acceda a datos reales de clientes. Si obtiene acceso accidentalmente a datos sensibles, detenga la prueba de inmediato e infórmenos sin demora.
3 No modifique, elimine, exfiltre ni publique datos.
4 No realice pruebas que puedan afectar a sistemas o servicios o reducir su disponibilidad.
5 No utilice ingeniería social ni phishing, no lleve a cabo ataques físicos ni instale puertas traseras o mecanismos de persistencia.
6 No comparta detalles públicamente antes de que hayamos acordado conjuntamente una fecha de divulgación coordinada.
Clave PGP

Comunicación cifrada

Para detalles técnicos sensibles, utilice la clave PGP pública del equipo de seguridad de Password Depot. Antes de cifrar, verifique la huella digital de la clave descargada.

Identidad Password Depot Security <security@password-depot.de> Huella digital principal (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Subclave de cifrado (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Validez Clave principal válida hasta 2031-04-23 · Subclave de cifrado válida hasta 2028-04-23 Descarga de la clave https://www.password-depot.de/.well-known/pgp-key.asc

También puede encontrarse mediante RFC 9116 (security.txt) en /.well-known/security.txt.

Notificación

Cómo notificar una vulnerabilidad

Enviar notificación

Envíe su notificación a:

security@password-depot.de

Incluya lo siguiente

  • Producto afectado, versión, build y componente
  • Descripción de la vulnerabilidad
  • Pasos para la reproducción / Proof of Concept
  • Evaluación del impacto y de la gravedad
  • Entorno de prueba, configuración y requisitos previos
  • Datos de contacto y, si procede, preferencia sobre la mención de su nombre
No envíe datos personales innecesarios ni grandes volúmenes de datos de entornos de producción.

Confidencialidad

Tratamos su notificación y, si así lo desea, su identidad de forma confidencial, en la medida en que la ley lo permita. Solo publicaremos su nombre con su consentimiento previo.

Sus datos solo se compartirán en la medida en que sea necesario para verificar, subsanar y divulgar de forma coordinada la vulnerabilidad o para cumplir con obligaciones legales.

Proceso

Qué sucede después de su notificación

Acuse de recibo 48 horas Confirmamos la recepción de su notificación.
Evaluación inicial 7 días Le comunicaremos si clasificamos la notificación como válida, duplicada, fuera del alcance o actualmente no verificable.
Actualizaciones periódicas cada 30 días Le informaremos sobre el estado de la tramitación hasta la resolución o hasta la divulgación acordada.
Divulgación

Divulgación coordinada y Security Advisories

En cuanto esté disponible una actualización de seguridad u otra medida correctiva eficaz, por lo general publicaremos un Security Advisory para las vulnerabilidades confirmadas.

Si una publicación inmediata pudiera poner en riesgo la seguridad de nuestros usuarios, podremos posponer la publicación hasta un momento adecuado.

Ver Security Advisories

Un Security Advisory incluye como mínimo

  • Una descripción de la vulnerabilidad
  • Los productos y versiones afectados
  • Impacto y nivel de gravedad
  • Indicaciones claras para la corrección o mitigación

Aviso sobre las obligaciones legales de notificación

Si una notificación apunta a una vulnerabilidad explotada activamente o a un incidente grave de seguridad, es posible que estemos legalmente obligados a transmitir la información técnica necesaria a las autoridades competentes, al CSIRT responsable y a ENISA, así como a informar a los usuarios afectados.

Solo divulgaremos su identidad en la medida en que sea legalmente necesario.

Reconocimiento

Actualmente no ofrecemos recompensas económicas ni pagos de bug bounty, salvo que se anuncie expresamente por separado.

Si lo desea, le mencionaremos tras la corrección de la vulnerabilidad en un Security Advisory o en un agradecimiento. Indíquenoslo al enviar su notificación.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Alemania Correo electrónico: security@password-depot.de
Notificar una vulnerabilidad