Seguridad

Nos tomamos muy en serio la seguridad de LumenLingo y de tus datos. Si descubres una vulnerabilidad, queremos saberlo.

Este documento está disponible en varios idiomas. En caso de conflicto o inconsistencia entre las versiones traducidas, prevalecerá la versión en inglés. Ver versión en inglés

Informar una vulnerabilidad

Si crees que has encontrado una vulnerabilidad de seguridad en LumenLingo, informala de forma responsable enviando un correo a .

Incluye la mayor cantidad de detalles posible: una descripcion de la vulnerabilidad, pasos para reproducirla, el impacto potencial y cualquier codigo de prueba de concepto o capturas de pantalla.

Tambien publicamos un archivo security.txt legible por maquinas segun RFC 9116.

Alcance

Dentro del alcance

  • El sitio web de LumenLingo (lumenlingo.com) y todos los subdominios
  • Endpoints de API en lumenlingo.com/api/*
  • La aplicacion iOS de LumenLingo
  • Fallos de autenticacion y autorizacion
  • Vulnerabilidades de cross-site scripting (XSS), inyeccion y CSRF
  • Server-side request forgery (SSRF)
  • Exposicion de datos sensibles

Fuera del alcance

  • Ingenieria social (phishing, vishing) contra empleados de Lumenshore
  • Ataques de denegacion de servicio (DoS/DDoS)
  • Ataques fisicos contra las oficinas o infraestructura de Lumenshore
  • Vulnerabilidades en servicios de terceros (Apple, Vercel, Sentry) — informalas al proveedor correspondiente
  • Escaneo automatizado sin aprobacion previa
  • Spam, manipulacion SEO o inyeccion de contenido que no afecte la seguridad

Nuestra respuesta

Nos comprometemos con el siguiente plazo de respuesta:

  • Confirmacion — dentro de 48 horas de tu informe
  • Evaluacion inicial — dentro de 5 dias habiles
  • Objetivo de resolucion — dentro de 30 dias para problemas criticos, 90 dias para no criticos
  • Notificacion — te informaremos cuando el problema se haya resuelto

Te mantendremos informado de nuestro progreso y podemos solicitar informacion adicional para ayudar a reproducir o resolver el problema.

Puerto seguro

No emprenderemos acciones legales contra investigadores de seguridad que:

  • Actuen de buena fe y sigan esta politica de divulgacion
  • Eviten acceder o modificar datos de otros usuarios
  • No degraden el servicio (sin DoS, sin pruebas destructivas)
  • Informen las vulnerabilidades con prontitud y no las divulguen publicamente hasta que hayamos tenido una oportunidad razonable de abordarlas

Si sigues estas directrices, consideramos tu investigacion como autorizada y no emprenderemos acciones civiles o penales relacionadas con tus hallazgos.

Contacto

Para informes de seguridad:

Para soporte general:

Idioma preferido: ingles