Política de Seguridad

Política de Seguridad y Reporte Responsable de Vulnerabilidades

En Fertisem EIRL protegemos la información de nuestros clientes y de nuestras operaciones de comercio electrónico. Esta política explica cómo puedes reportar posibles vulnerabilidades de manera responsable y qué compromisos asumimos para gestionar cada reporte con diligencia y confidencialidad.

1. Alcance

Esta política aplica a los activos digitales de Fertisem, incluyendo fertisem.pe y servicios asociados de tienda online, siempre que estén bajo nuestro control directo. Quedan excluidos servicios de terceros (pasarelas de pago, couriers, CDNs, redes sociales), que mantienen sus propias políticas.

2. Cómo reportar una vulnerabilidad

• Correo: ventas@fertisem.pe
• WhatsApp oficial: 967 867 089
• Security.txt: /.well-known/security.txt

Incluye detalles técnicos suficientes (URL, pasos para reproducir, impacto estimado, capturas o PoC no destructiva). Evita compartir datos sensibles de clientes en el correo; si es imprescindible, avísanos para acordar un canal cifrado.

3. Compromisos de Fertisem (SLA objetivo)

• Acuse de recibo: dentro de 48 horas hábiles.
• Evaluación inicial: dentro de 5 días hábiles.
• Mitigación/Corrección: en el menor plazo posible según criticidad (crítica/alta/media/baja).
• Transparencia: te mantendremos informado sobre el estado y el cierre del hallazgo.

Horario de soporte: lunes a domingo, 08:00–20:00 (GMT-5, Perú).

4. Reglas del reporte responsable

• No realices acciones que afecten la disponibilidad del servicio (p. ej., DDoS) ni la experiencia de otros usuarios.
• No accedas, alteres ni descargues datos personales o financieros reales. Usa cuentas propias de prueba cuando sea posible.
• No intentes ingeniería social al equipo, clientes o proveedores.
• Respeta la privacidad y la confidencialidad; no divulgues la vulnerabilidad públicamente sin coordinación previa con Fertisem.

5. Fuera de alcance (no evaluaremos como hallazgo)

• Problemas derivados de servicios de terceros fuera de nuestro control (pasarela de pago, courier, redes sociales, CDN).
• Enumeración de usuarios, clickjacking sin impacto, falta de cabeceras no críticas, o mensajes de error genéricos.
• SPF/DMARC/TTL subóptimos sin explotación demostrable.
• Contenido duplicado/SEO o cualquier aspecto puramente de posicionamiento.

6. Reconocimiento

Hoy no ofrecemos programa de recompensas económicas. Agradecemos la divulgación responsable y, si autorizas, podemos reconocer tu contribución de forma pública (créditos en humans.txt o nota de agradecimiento).

7. Tratamiento de datos y confidencialidad

Usaremos la información aportada exclusivamente para analizar y corregir el problema reportado. Los datos serán tratados conforme a nuestra Política de Privacidad y buenas prácticas de seguridad.

8. Aviso de resguardo (“Safe Harbor” no legal)

Siempre que actúes de buena fe, dentro del alcance y siguiendo esta política, no iniciaremos acciones legales por tus hallazgos. Este aviso no constituye asesoría legal ni un derecho absoluto; podremos solicitarte que detengas pruebas que afecten servicios o terceros.

9. Actualizaciones de la política

Esta política puede actualizarse para reflejar nuevas prácticas o cambios regulatorios. Indicaremos la última fecha de actualización y mantendremos coherencia con /.well-known/security.txt.

Última actualización: 06/10/2025