Reporte de Vulnerabilidades

Responsible Disclosure Policy — Última actualización: 27 de mayo de 2026

En TodoContador valoramos el trabajo de los investigadores de seguridad. Si encontraste una vulnerabilidad en nuestro servicio, te pedimos que nos la reportes de forma responsable.

Contacto

• Email: admin@todocontador.com.ar
• Asunto: "[SECURITY] breve descripción"
• Idiomas: Español, English

Lo que necesitamos

• Descripción técnica clara de la vulnerabilidad
• Pasos de reproducción
• Impacto estimado
• Tu nombre / handle para el reconocimiento (opcional)

Lo que prometemos

• Respuesta inicial en 48hs hábiles
• Triage y plan de fix dentro de 7 días
• No iniciar acción legal contra investigadores que actúen de buena fe y respeten esta política
• Reconocimiento público (con tu permiso) cuando publiquemos el fix

Reglas

• NO accedas a datos de otros usuarios. Si lo hacés accidentalmente, reportalo y borrá la copia.
• NO hagas DoS / DDoS ni saturás los servidores intencionalmente.
• NO uses ingeniería social contra empleados.
• NO publiques la vulnerabilidad hasta que confirmemos el fix (típicamente 90 días desde el reporte).

Out of scope

• Reportes de "best practices" sin un impacto explotable demostrado
• Vulnerabilidades en software de terceros que no controlamos directamente
• Self-XSS o XSS que requiera ingeniería social
• Email spoofing sin afectar nuestros dominios

security.txt

Versión RFC 9116 de este contacto: /.well-known/security.txt