AUMENTA2 AI – AUMENTA2 S.A.S.

Actualizado: Noviembre 10 de 2025

Fecha de vigencia: Febrero 16 de 2026

1. Propósito

El presente Programa de Divulgación de Vulnerabilidades («Programa») tiene como finalidad facilitar la identificación, reporte y remediación responsable de vulnerabilidades de seguridad que puedan afectar los servicios, infraestructuras, aplicaciones o productos ofrecidos por Aumenta2 AI, contribuyendo al fortalecimiento de la seguridad de nuestra plataforma y de nuestros usuarios.

2. Alcance

Este Programa aplica exclusivamente a vulnerabilidades de seguridad reales y verificables que existan en la versión pública actual de los activos de Aumenta2 AI. No están incluidos elementos internos no públicos, sistemas de terceros integrados o dependencias externas sin relación directa con nuestros servicios.

3. Reglas de Participación

Para participar en este Programa, los investigadores deben:

a) Seguir las directrices de este documento y cualquier otro acuerdo aplicable de Aumenta2 AI.
b) Realizar pruebas únicamente en los sistemas, aplicaciones y servicios designados como incluidos en este Programa.
c) Evitar causar daño, interrupción de servicio, alteración o destrucción de datos o afectación de usuarios finales.
d) No acceder deliberadamente a datos no públicos más allá de lo estrictamente necesario para demostrar la vulnerabilidad.
e) No divulgar pública o privadamente detalles técnicos antes de una coordinación con Aumenta2 AI.
f) Cumplir con las leyes, regulaciones y normas de conducta aplicables a pruebas de seguridad en su jurisdicción.

4. Exclusiones del Alcance

Quedan expresamente fuera del alcance de este Programa:

a) Pruebas automatizadas que no se acompañen de evidencia manual o de análisis contextual.
b) Técnicas que afecten la disponibilidad del servicio, como ataques de denegación de servicio (DoS/DDoS).
c) Manipulación de datos que no te pertenezcan o pruebas que impliquen ingeniería social contra cualquier persona o entidad.
d) Escaneos de puertos, banners, falta de HTTP headers de mejores prácticas y otras pruebas que no muestren una vulnerabilidad verificable por diseño.

5. Proceso de Reporte

Los informes de vulnerabilidad deberán enviarse exclusivamente a través de nuestro canal oficial de seguridad dirigido a: [email protected] (o el canal que Aumenta2 AI determine como oficial más adelante).
Cada reporte debe incluir:

1. Una descripción clara y precisa de la vulnerabilidad.
2. Pasos detallados para reproducirla.
3. Evidencia que permita al equipo de seguridad verificar el hallazgo.
4. Impacto estimado y alcance de la vulnerabilidad.

El equipo de seguridad de Aumenta2 AI confirmará recepción en un plazo de 5 días hábiles y mantendrá comunicación durante el proceso de análisis y mitigación.

6. Limitación de Responsabilidad y Safe Harbor

Aumenta2 AI declara que las pruebas de investigación de vulnerabilidades realizadas de buena fe, dentro del marco de este Programa y respetando las reglas aquí descritas, no serán consideradas como infracción de nuestros términos de uso, políticas internas o leyes de acceso no autorizado aplicables (incluyendo aquellas similares al CFAA o normas de circunvención de protección tecnológica). Esto se aplicará siempre que el investigador:

a) Actúe sin intención maliciosa.
b) No explote, modifique o utilice la vulnerabilidad para obtener beneficio personal.
Este Programa no constituye una renuncia general de otros derechos o acciones legales disponibles para Aumenta2 AI bajo cualquier legislación aplicable.

7. Recompensas

La participación en este Programa no garantiza una remuneración, honorarios o recompensa, y cualquier beneficio o reconocimiento queda a la entera discreción de Aumenta2 AI.

8. Privacidad y Protección de Datos

Todo el material presentado por los investigadores será tratado como confidencial y sujeto a las políticas de protección de datos de Aumenta2 AI, de conformidad con las leyes aplicables de protección de datos personales.

9. Actualizaciones del Programa

Aumenta2 AI se reserva el derecho de actualizar, modificar o retirar este Programa en cualquier momento, publicando la versión vigente en su sitio web institucional.