1. Alcance

Esta política se aplica a todas las operaciones internas, entornos tecnológicos y activos digitales bajo la administración o supervisión de Hexaforge, incluyendo subdominios, sistemas de clientes implementados por Hexaforge, infraestructura en la nube y cualquier componente tecnológico asociado.

2. Definiciones

- Violación de datos: Acceso, uso, divulgación, alteración o destrucción no autorizada de información confidencial, ya sea accidental o intencionado.

- Vulnerabilidad: Debilidad técnica o de configuración que puede ser explotada para comprometer la seguridad de un sistema o provocar una violación de datos.

3. Objetivo

Garantizar que Hexaforge pueda identificar, contener y responder de manera eficiente a cualquier vulnerabilidad o violación, minimizando impactos y reforzando su postura de seguridad a través de un canal estructurado de comunicación y resolución.

4. Canal de Reporte

Si identificas una vulnerabilidad o sospecha de incidente, puedes reportarlo directamente a nuestro equipo de seguridad enviando un correo a: security@hexaforgeai.com.

5. Compromiso con los Investigadores de Seguridad

Hexaforge reconoce y valora la contribución de los profesionales de seguridad que actúan de buena fe. Nos comprometemos a no iniciar acciones legales contra investigadores que sigan esta política durante sus pruebas y a colaborar activamente para entender y resolver cualquier reporte.

6. Reglas de Interacción para Investigadores

Deben:

- Detener las pruebas y notificarnos al detectar una vulnerabilidad.

- Notificarnos si se expone información sensible de Hexaforge o sus clientes.

- Eliminar cualquier copia de información confidencial obtenida durante la investigación.

Pueden:

- Documentar información sensible únicamente en la medida necesaria para evidenciar la existencia de la vulnerabilidad.

No deben:

- Realizar ingeniería social ni ataques físicos.

- Ejecutar pruebas de Denegación de Servicio (DoS) o introducir malware.

- Alterar, borrar o retener datos.

- Divulgar vulnerabilidades públicamente sin coordinación con Hexaforge.

- Interrumpir o degradar servicios productivos.

- Establecer persistencia o acceso no autorizado.

7. Sistemas autorizados para pruebas (coordinadas)

Actualmente, Hexaforge acepta evaluaciones de seguridad sobre los siguientes entornos públicos controlados:

- www.hexaforgeai.com

- demo.hexaforgeai.com

- clientes.hexaforgeai.com

Cualquier evaluación fuera de estos sistemas debe ser previamente coordinada y autorizada.

8. Requisitos del reporte

Idealmente, un informe debe incluir:

- Fecha y hora del hallazgo.

- Descripción técnica clara de la vulnerabilidad o violación.

- Capturas, logs, scripts u otros medios de prueba.

- Sistema o URL afectada.

- Método para reproducir el hallazgo.

- Evaluación del impacto potencial.

9. Criterios de Evaluación de Riesgo

Hexaforge clasificará la gravedad del incidente considerando:

- Tipo de información expuesta.

- Volumen de datos comprometidos.

- Existencia de cifrado u otras protecciones activas.

- Naturaleza de los usuarios afectados.

- Potencial de daño reputacional o financiero.

- Posibilidad de explotación masiva.

- Relevancia mediática o legal del caso.