Security
Vulnerability Disclosure & Bug Bounty
Investigadores de seguridad: gracias por mirar Nexus Legal con ojos críticos. Esta página describe nuestra política de divulgación, el alcance autorizado y las recompensas. Documento estable, actualizado el 2026-05-21.
Cómo reportar
Envía un correo a security@nexusquantum.legal. Cifrado PGP opcional: solicita la clave pública en el mismo correo y la enviaremos firmada.
Para máquinas: https://legal.nexusquantum.legal/.well-known/security.txt (RFC 9116).
Acuse de recibo en 72 horas. Triaje y plan de respuesta en 7 días naturales. Notificación final del fix en ≤ 90 días desde el reporte para severidades High/Critical.
Alcance autorizado
In scope
legal.nexusquantum.legal— aplicación principal.api.nexusquantum.legal(si está expuesto) y rutas/api/v1/*.- SDKs publicados:
@nexus-legal/sdk(npm),nexus-legal(PyPI). - Servidor MCP
@nexus-legal/mcp(npm). - Lógica de billing, créditos, multi-tenancy y aislamiento entre sub-keys.
- Cualquier ruta documentada en /developers/docs.
Out of scope
- DDoS, ataques volumétricos o agotamiento de recursos a fuerza bruta.
- Ingeniería social contra empleados o clientes.
- Acceso físico a oficinas o infraestructura.
- Vulnerabilidades de terceros que no hayan sido modificadas por Nexus (ej. CVE genérico de Next.js sin demostración de explotación en nuestra superficie).
- SPF/DMARC/DKIM mejoras (las trataremos pero no aplican recompensa).
- Bugs de UI sin impacto en seguridad (rendering, accesibilidad).
- Pruebas automáticas (Nessus, Acunetix) sin verificación manual del hallazgo.
Recompensas (programa piloto)
Programa en fase piloto. Recompensas a discreción de Nexus según severidad CVSS v3.1, calidad del reporte y novedad. No se paga por duplicados ni por hallazgos ya conocidos internamente.
| Severidad | Rango (EUR) | Ejemplos |
|---|---|---|
| Critical | 500 – 2 000 | RCE, auth bypass global, exfiltración masiva de datos de clientes. |
| High | 200 – 500 | Privilege escalation entre tenants, billing bypass, SQL injection. |
| Medium | 50 – 200 | Información leak entre tenants, XSS persistente con contexto sensible. |
| Low | Hall of Fame | Misconfiguraciones de bajo impacto, header faltante, mejora cosmética. |
Safe harbor
Si actúas de buena fe siguiendo esta política:
- No emprenderemos acciones legales civiles ni penales contra ti.
- No te reportaremos a las autoridades por la actividad de testing.
- Trabajaremos contigo para entender y resolver el problema rápido.
- Te reconoceremos públicamente en el Hall of Fame si lo deseas.
Reglas básicas: no accedas a datos de otros clientes más allá de lo necesario para demostrar el hallazgo; no degrades el servicio (DoS/load); no exfiltres datos; reporta tan pronto como detectes la vulnerabilidad; mantén confidencialidad hasta que confirmemos el fix público.
Hall of Fame
Aún no hay reportes externos válidos. Sé el primero — te ponemos aquí con tu nombre o handle público.