En Cord creemos que la seguridad es un esfuerzo colectivo. Operamos un programa privado de divulgación responsable (Bug Bounty Program) para investigadores de ciberseguridad.
Alcance del Programa
Los siguientes dominios y activos están dentro del alcance para pruebas de penetración:
cord.flouvia.com(aplicación web principal y la API encord.flouvia.com/api)- El cotizador embebible (Cord Elements:
/embed,/qy el paquete@flouviahq/elements).
Fuera del alcance: Denegación de Servicio Volumétrica (DDoS), Ingeniería Social contra empleados de Flouvia, y ataques físicos a nuestros servidores en AWS/Vercel.
Cómo Reportar un Fallo
Si has encontrado un fallo de seguridad (ej. Inyección SQL, XSS, Bypass de Autenticación, Elevación de Privilegios):
- Detén inmediatamente cualquier prueba que comprometa datos de otros usuarios.
- Escribe un reporte detallado con pasos de reproducción precisos y una prueba de concepto (PoC).
- Envía un correo encriptado por GPG a
security@flouvia.com.
Nuestro equipo interno de DevSecOps te responderá en menos de 24 horas y, dependiendo de la criticidad calculada mediante la calculadora CVSS v3.1, se te ofrecerá una recompensa económica sustancial.