Contact: mailto:security@factupoints.com Contact: mailto:marc@points2control.com Expires: 2027-05-01T00:00:00.000Z Preferred-Languages: es, ca, en Canonical: https://factupoints.com/.well-known/security.txt Policy: https://factupoints.com/security.php Acknowledgments: https://factupoints.com/security.php # =========================================================================== # FactuPoints · Coordinated Vulnerability Disclosure (RFC 9116) # =========================================================================== # # Si has encontrado una vulnerabilidad de seguridad en FactuPoints, por favor # repórtala de forma responsable enviándonos un email a security@factupoints.com. # Confirmaremos la recepción en las primeras 48h laborables e intentaremos # resolver el problema en los 30 días siguientes. # # Lo que nos gustaría que incluyeras en tu informe: # - Descripción clara de la vulnerabilidad y su impacto potencial # - Pasos detallados para reproducirla # - Versión / endpoint afectado # - Cualquier prueba de concepto (PoC) # - Tu nombre o handle si quieres que te reconozcamos públicamente # # Por favor, abstente de las siguientes prácticas (que no se considerarán # investigación legítima y podrían tener consecuencias legales): # - Ataques de denegación de servicio (DoS / DDoS) # - Spam, phishing o ingeniería social contra nuestro equipo o usuarios # - Pruebas destructivas sobre datos de producción de otros usuarios # - Pruebas contra cuentas de usuarios que no sean tuyas propias # - Acceso a datos personales de terceros más allá del PoC mínimo necesario # - Divulgación pública antes de coordinar con nosotros # # Si actúas dentro del marco de esta política y haces el reporte de buena fe, # nos comprometemos a no emprender acciones legales contra ti. # # Reconoceremos públicamente a los investigadores que lo deseen en # https://factupoints.com/security.php tras solucionar el problema. # # =========================================================================== # What we use / Lo que usamos # =========================================================================== # - PHP 8.2+ con extensiones modernas (OpenSSL, fileinfo, gd, intl) # - MariaDB 10.11+ (multi-tenant con aislamiento estricto) # - Apache 2.4 detrás de nginx (Plesk) # - Verifactu (RD 1007/2023) con SHA-256 hash chain # - AES-256-GCM para datos sensibles en reposo # - bcrypt cost 12 para contraseñas # - WebAuthn / Passkeys soportados # - HSTS + CSP estrictos # # Áreas de especial interés para reportes: # - Aislamiento multi-tenant (cualquier acceso cross-tenant) # - Verifactu hash chain integrity # - File upload (any way to bypass MIME/extension/size validation) # - SQL injection # - Authentication / 2FA / passkey bypass # - IDOR en endpoints API # - Privilege escalation (user → admin) # # Out of scope: # - Ausencia de DKIM/DMARC (en migración) # - Cabecera "X-Powered-By: PleskLin" (configuración de proveedor) # - Versiones de Apache/nginx visibles # - Vulnerabilidades de dependencias sin PoC funcional contra nosotros