Reportar una vulnerabilidad
Si encontraste un problema de seguridad en AVEX, esto es lo que necesitas saber para reportarlo de forma efectiva. Te respondemos rápido y reconocemos el trabajo de investigadores externos.
Canal de reporte
Asunto: Reporte de seguridad. Incluye pasos para reproducir, impacto observado y, si aplica, prueba de concepto.
Mientras AVEX no publique una clave PGP, los reportes viajan por TLS estándar. Si necesitas un canal cifrado adicional, escribe primero pidiendo el contacto y coordinamos.
Dentro del alcance
- El dominio principal www.avex.com.co y sus subdominios públicos.
- El panel de administración en /internal/* (incluye flujos de auth, MFA, recuperación de contraseña).
- Los endpoints públicos de la API: /api/v1/verify/*, /api/contact, /api/og/*.
- Los endpoints autenticados que aceptan API keys (Bearer avex_k1_*) bajo /api/institution/* y /api/loyalty/*.
- Los webhooks inbound HMAC-firmados en /api/webhooks/*.
- La generación y validación de pases de Apple Wallet (PKPass) y Google Wallet (JWT).
Fuera del alcance
- Servicios y aplicaciones de terceros (Apple, Google, Resend, S3, Cloudflare). Reportes de esos canales se enrutan a sus equipos correspondientes.
- Ingeniería social, phishing, llamadas o cualquier ataque dirigido a empleados de MIMMERS SAS o clientes institucionales de AVEX.
- Ataques de denegación de servicio (DoS, DDoS) volumétricos. Reportes de configuración de rate limiting o de superficies sin protección sí están dentro del alcance.
- Vulnerabilidades en navegadores antiguos sin soporte vigente del fabricante.
- Hallazgos exclusivamente derivados de scanners automáticos sin un proof-of-concept que demuestre impacto.
- Contenido de páginas legales o de marketing (errores tipográficos, claims comerciales). Esos van por [email protected] como feedback editorial.
Plazos de respuesta
Acuse de recibo
≤ 48 horas hábiles
Confirmamos por correo que recibimos el reporte y asignamos un identificador interno.
Triaje inicial
≤ 5 días hábiles
Reproducimos, clasificamos por severidad (CVSS 4.0) y respondemos con la línea de acción prevista.
Resolución crítica
≤ 30 días
Severidad alta o crítica: parche desplegado o mitigación temporal documentada y comunicada al reportante.
Resolución estándar
≤ 90 días
Severidad media o baja: corrección priorizada en el roadmap, fecha estimada compartida con el reportante.
Compromiso con investigadores
AVEX no toma acciones legales contra investigadores que reporten vulnerabilidades de buena fe siguiendo esta política: actuando dentro del alcance, sin acceder a datos de terceros más allá de lo necesario para demostrar impacto, sin degradar el servicio para otros usuarios y dándonos un plazo razonable para responder antes de cualquier divulgación pública.
Reconocemos públicamente a quienes lo soliciten en una página de agradecimientos — indícanos si quieres aparecer y con qué nombre o handle. Hoy no operamos un programa de recompensas monetarias; cuando exista, se anunciará primero a quienes hayan reportado en el pasado.