Seguridad y reportes responsables

Miqra es una app de lectura privacy-first, sin servidores ni analítica. Aun así, la seguridad nos importa. Si encontraste una vulnerabilidad, apreciamos tu ayuda para reportarla de forma responsable.

Esta página cubre específicamente a Miqra. Para la política paraguas que cubre todas las apps e infraestructura de KhassinX, consulta khassinx.com/es/security.

Reportar

Email: [email protected]
Indicador machine-readable de disclosure: /.well-known/security.txt (RFC 9116)

Incluye una descripción breve, pasos de reproducción, el impacto observado y cualquier herramienta que hayas usado.

Alcance

  • miqra.khassinx.com (este sitio)
  • La app de Miqra iOS / iPadOS / macOS / watchOS en la Apple App Store

Fuera de alcance

  • Servicios de terceros (Apple App Store, los modelos en el dispositivo de Apple) — repórtalo directamente a Apple en security.apple.com
  • Ataques volumétricos (DDoS, brute force) — no son vulnerabilidades
  • Reportes generados solo por scanners automatizados sin prueba reproducible de impacto
  • Issues teóricos sin un camino de ataque demostrable
  • Email spoofing en subdominios donde publicamos explícitamente SPF/DKIM/DMARC

Tiempos de respuesta

  • Acuse de recibo: dentro de cinco días hábiles
  • Triage inicial: dentro de catorce días
  • Cronograma coordinado de disclosure: acordado caso por caso, típicamente noventa días para issues no críticos, acelerado para críticos

Safe harbor

No tomaremos acción legal contra investigadores actuando de buena fe — investigando, reportando y respetando nuestras reglas de alcance, accediendo solo a los datos necesarios para demostrar el issue y dándonos tiempo razonable para remediar antes de la divulgación pública.

Reconocimiento

Actualmente no ofrecemos bug bounty monetario. Ofrecemos reconocimiento público en esta página (con tu consentimiento), comunicación directa con el equipo que maneja el fix y crédito formal en las release notes cuando el fix sale.

Contacto

Reportes de seguridad: [email protected] (clave PGP disponible bajo pedido)
Contacto general: [email protected]