Programa de Divulgación de Vulnerabilidades

Fecha de vigencia: 19 de marzo de 2026

1. Elegibilidad

1.1 Participantes elegibles

Para participar en este Programa, debe:

• Tener al menos 18 años (o tener consentimiento parental si se considera menor de edad en su jurisdicción)
• Participar individualmente o tener autorización de su organización
• No ser residente de un país sujeto a sanciones comerciales internacionales
• No ser empleado actual o ex empleado de IncoreSoft (en los últimos 6 meses) ni familiar inmediato de dicho empleado

1.2 Participantes no elegibles

Los siguientes individuos no son elegibles para participar:

• Empleados gubernamentales y educativos sin aprobación previa de ética o cumplimiento de su organización
• Personas empleadas o contratadas con IncoreSoft en los 6 meses anteriores a la presentación
• Personas en roles de contratistas externos que requieren acceso a la red corporativa o sistemas internos de IncoreSoft
• Personas involucradas en la administración de este Programa

2. Alcance

2.1 Objetivos elegibles

Los siguientes dominios y productos están aprobados para pruebas de seguridad:

• *.incoresoft.com
• Productos de software de análisis de video con IA de IncoreSoft (clientes de escritorio, complementos e integraciones)

2.2 Vulnerabilidades fuera del alcance

Lo siguiente generalmente se considera fuera del alcance:

• Encabezados de seguridad faltantes que no conducen a una vulnerabilidad directa (por ejemplo, X-Frame-Options, Content-Security-Policy)
• Configuraciones de seguridad de correo electrónico faltantes (DMARC, DKIM, SPF, DNSSEC) a menos que conduzcan a un exploit demostrable
• Ataques de Denegación de Servicio (DoS/DDoS)
• Ataques de ingeniería social o phishing contra empleados o usuarios de IncoreSoft
• Ataques físicos contra las oficinas o centros de datos de IncoreSoft
• Vulnerabilidades en software o servicios de terceros no desarrollados por IncoreSoft
• Informes de escáneres de vulnerabilidades automatizados sin una prueba de concepto demostrada
• Clickjacking en páginas sin acciones sensibles
• Self-XSS (donde el usuario solo puede atacarse a sí mismo)

3. Proceso de envío

Los investigadores de seguridad deben reportar vulnerabilidades por correo electrónico a: security@incoresoft.com

Use el asunto: "Finding for Vulnerability Disclosure Program"

Su informe debe incluir:

• Tipo de problema — clasificación de la vulnerabilidad (por ejemplo, XSS, inyección SQL, IDOR, RCE)
• URL o producto afectado — la ubicación específica o componente donde existe la vulnerabilidad
• Pasos de reproducción — pasos claros y detallados para reproducir el problema
• Prueba de concepto — código, capturas de pantalla o video que demuestren la vulnerabilidad
• Evaluación de impacto — su análisis del impacto potencial y la gravedad
• Su información de contacto — para que podamos hacer seguimiento y coordinar

Por favor, no incluya datos sensibles (como contraseñas, información personal de otros o datos de producción) en su informe.

4. Divulgación coordinada de vulnerabilidades (CVD)

• Solicitamos al menos 90 días desde la fecha del informe para evaluar, clasificar y remediar la vulnerabilidad antes de cualquier divulgación pública.
• Trabajaremos con el investigador durante todo el proceso de investigación y remediación.
• La divulgación anticipada solo puede ocurrir si se detecta explotación activa antes de que se publique una actualización.
• Coordinaremos con el investigador el momento y el contenido de cualquier divulgación pública.
• Acreditaremos al investigador en cualquier divulgación pública o aviso, a menos que el investigador opte por no hacerlo.

5. Licencia de envío

Al enviar un informe de vulnerabilidad, otorga a IncoreSoft una licencia no exclusiva, perpetua, mundial y libre de regalías para usar, probar, modificar e incorporar el envío. Declara y garantiza que:

• El envío es su trabajo original
• Tiene el derecho de otorgar la licencia descrita anteriormente
• El envío no infringe derechos de terceros

6. Confidencialidad

El código de exploit detallado, las especificaciones técnicas y los pasos de reproducción deben permanecer confidenciales durante al menos 30 días después de que se corrija la vulnerabilidad y se publique un parche o actualización. La divulgación prematura puede resultar en descalificación del Programa y posibles acciones legales.

No puede divulgar ninguna vulnerabilidad a terceros sin el consentimiento previo por escrito de IncoreSoft durante el período de remediación.

7. Código de conducta

Al participar en este Programa, no debe:

• Participar en actividades ilegales, incluido el acceso no autorizado, la destrucción de datos o ataques de denegación de servicio
• Acceder, modificar, eliminar o exfiltrar datos pertenecientes a otros usuarios o clientes
• Usar ingeniería social, phishing o pretexting contra empleados, contratistas o usuarios de IncoreSoft
• Transmitir malware, ransomware u otro software malicioso
• Explotar una vulnerabilidad más allá del mínimo necesario para demostrar su existencia
• Realizar pruebas de manera que degraden el rendimiento o la disponibilidad de nuestros servicios
• Participar en actividades que violen leyes o regulaciones de privacidad
• Participar en spam, acoso o distribución de contenido engañoso

Los investigadores deben cumplir con todas las leyes y regulaciones aplicables mientras participan en este Programa.

8. Puerto seguro

• Autorizado — IncoreSoft no iniciará acciones legales por violaciones accidentales de buena fe
• Exento de reclamaciones bajo CFAA (Ley de Fraude y Abuso Informático) en la medida en que la investigación cumpla con este Programa
• Exento de reclamaciones bajo DMCA relacionadas con la elusión de controles tecnológicos

Si un tercero inicia acciones legales contra usted por actividades realizadas de acuerdo con este Programa, haremos esfuerzos razonables para dar a conocer que sus acciones se realizaron en cumplimiento de este Programa.

9. Descargos de responsabilidad

INCORESOFT NO PROPORCIONA GARANTÍAS, EXPRESAS O IMPLÍCITAS, RESPECTO A LA PARTICIPACIÓN EN ESTE PROGRAMA. LA PARTICIPACIÓN ES COMPLETAMENTE VOLUNTARIA Y BAJO SU PROPIO RIESGO. INCORESOFT NO SERÁ RESPONSABLE DE NINGÚN DAÑO QUE SURJA DE SU PARTICIPACIÓN EN ESTE PROGRAMA.

Este Programa no constituye una relación de empleo o contratista entre usted e IncoreSoft.

10. Reconocimiento

Los investigadores que reporten vulnerabilidades válidas de acuerdo con este Programa pueden ser reconocidos públicamente en nuestro sitio web o avisos de seguridad, a menos que opten explícitamente por no hacerlo. Respetamos su preferencia por el anonimato.

11. Contacto

Correo electrónico:security@incoresoft.com

Consultas de privacidad:privacy@incoresoft.com