Política de Divulgación Responsable

Nuestra política de divulgación responsable busca generar un canal de comunicación para que investigadores independientes nos informen problemas que puedan afectar la confidencialidad, integridad y/o disponibilidad de la información de nuestros Titulares, Comercios Amigos o de la Compañía en general.

Antes de reportar un error o hallazgo, para Naranja es muy importante que puedas cumplir con la política de divulgación responsable que detallamos a continuación:

- Antes de hacer pública o compartir la información del reporte, es importante que te comuniques con nosotros siguiendo los pasos que figuran en el recuadro.  
- No expongas la privacidad de otras personas (físicas o jurídicas), por ejemplo, mediante el acceso no autorizado a datos o su destrucción, o la interrupción/ degradación de nuestros servicios.
- No accedas o modifiques cuentas sin el consentimiento del propietario.
- No te aproveches del problema de seguridad intentando demostrar que existen riesgos adicionales para descubrir más problemas.
- No estás autorizado a acceder a nuestra información sensible, por ejemplo, datos de Titulares o de Comercios Amigos.

Si consideras que descubriste una vulnerabilidad de seguridad en el sitio de Naranja (u otros sitios relacionados a Naranja), comunicate con nosotros, así de esta manera podemos investigar lo que reportes y resolver el problema rápidamente.

Te pedimos que realices los siguientes pasos:

1. Envíanos un correo electrónico a centrodeseguridad@naranja.com e incluí “Divulgación Responsable” en el asunto.
2 .En el cuerpo del correo electrónico, describí la naturaleza del error o hallazgo, identifica los pasos requeridos para replicarlo, las aplicaciones, programas o herramientas que utilizaste para detectar la vulnerabilidad y la fecha y hora en que realizaste las pruebas. En caso de que lo consideres adecuado, adjunta imágenes o videos de lo detectado.
3. Por favor, incluí tus datos personales para poder contactarnos contigo.


Las siguientes acciones no están dentro del alcance de nuestra política de divulgación responsable ya que pueden afectar de forma negativa a Naranja:

- Spam o técnicas de ingeniería social.
- Ataques por denegación de servicio.
- Inyección de código o contenido.
- Ataques por fuerza bruta.
- Escaneos de vulnerabilidad manuales o automatizados.

En Naranja tenemos un fuerte compromiso con la seguridad y agradecemos tus aportes de divulgación responsable.