Política de Seguridad y Reporte Responsable de Vulnerabilidades
En Fertisem EIRL protegemos la información de nuestros clientes y de nuestras operaciones de comercio electrónico. Esta política describe cómo reportar posibles vulnerabilidades de forma responsable y los compromisos que asumimos para gestionarlas con diligencia, confidencialidad y transparencia.
1. Alcance
Esta política aplica a los activos digitales de Fertisem, incluyendo fertisem.pe y los servicios asociados a la tienda online, siempre que estén bajo nuestro control directo. Quedan excluidos los servicios de terceros (pasarelas de pago, couriers, CDNs, redes sociales), los cuales cuentan con sus propias políticas de seguridad.
2. Cómo reportar una vulnerabilidad
Para reportar una posible vulnerabilidad, utiliza únicamente los siguientes canales oficiales:
Correo electrónico: ventas@fertisem.pe
WhatsApp y llamadas: 950 233 689
WhatsApp y llamadas: 959 363 078
Security.txt:
/.well-known/security.txt
Incluye detalles técnicos suficientes (URL afectada, pasos para reproducir, impacto estimado y, de ser posible, capturas o una PoC no destructiva). Evita compartir datos sensibles de clientes; si fuera imprescindible, notifícanos previamente para coordinar un canal cifrado.
3. Compromisos de Fertisem (SLA objetivo)
Acuse de recibo: dentro de 48 horas hábiles.
Evaluación inicial: dentro de 5 días hábiles.
Mitigación o corrección: en el menor plazo posible según la criticidad (crítica, alta, media o baja).
Transparencia: mantendremos informado al reportante sobre el estado y cierre del hallazgo.
Horario de soporte: lunes a domingo, de 08:00 a 20:00 (GMT-5, Perú).
4. Reglas del reporte responsable
No realices acciones que afecten la disponibilidad del servicio (por ejemplo, ataques DDoS).
No accedas, alteres ni descargues datos personales o financieros reales; utiliza cuentas de prueba cuando sea posible.
No intentes ingeniería social al equipo, clientes o proveedores.
Respeta la privacidad y confidencialidad; no divulgues la vulnerabilidad públicamente sin coordinación previa con Fertisem.
5. Fuera de alcance (no evaluaremos como hallazgo)
Incidencias derivadas de servicios de terceros fuera de nuestro control (pasarelas de pago, couriers, redes sociales, CDN).
Enumeración de usuarios, clickjacking sin impacto, ausencia de cabeceras no críticas o mensajes de error genéricos.
Configuraciones SPF/DMARC/TTL subóptimas sin explotación demostrable.
Contenido duplicado, SEO u otros aspectos puramente de posicionamiento.
6. Reconocimiento
Actualmente no ofrecemos un programa de recompensas económicas. Agradecemos la divulgación responsable y, con tu autorización, podremos reconocer tu contribución públicamente (por ejemplo, créditos en humans.txt o una nota de agradecimiento).
7. Tratamiento de datos y confidencialidad
La información proporcionada se utilizará exclusivamente para analizar y corregir el problema reportado. El tratamiento de datos se realizará conforme a nuestra Política de Privacidad y a las buenas prácticas de seguridad.
8. Aviso de resguardo (“Safe Harbor” no legal)
Siempre que actúes de buena fe, dentro del alcance y siguiendo esta política, Fertisem no iniciará acciones legales por los hallazgos reportados. Este aviso no constituye asesoría legal ni un derecho absoluto; podremos solicitar la suspensión de pruebas que afecten servicios o a terceros.
9. Actualizaciones de la política
Esta política puede actualizarse para reflejar nuevas prácticas o cambios regulatorios. Indicaremos la fecha de la última actualización y mantendremos coherencia con /.well-known/security.txt.
Última actualización: 06/10/2025
