Alcance
Esta política se aplica a los servicios y superficies oficiales de NEXEFII, incluidos NEXE Store, Master Control y Smartbot, cuando son operados bajo el control de NEXEFII.
Quedan fuera del alcance los sistemas de terceros, las integraciones operadas por otros proveedores y los entornos de clientes fuera del control directo de NEXEFII.
Puerto seguro para la investigación de buena fe
NEXEFII apoya la investigación de seguridad realizada de buena fe. Si usted sigue esta política, actúa de forma responsable y no causa daño ni accede a datos más allá del mínimo necesario para demostrar una vulnerabilidad, NEXEFII pretende tratar esa investigación como autorizada y de buena fe, y no como una conducta hostil.
Este compromiso de puerto seguro está sujeto a la revisión jurídica final y no sustituye las obligaciones legales aplicables ni los derechos de terceros.
Lo que NO se debe hacer
Para proteger a los usuarios y los datos, los investigadores NO deben, entre otras conductas:
- Ejecutar ataques de denegación de servicio (DoS/DDoS) o pruebas de carga que degraden el servicio.
- Exfiltrar, copiar, retener o publicar datos de clientes, datos personales o credenciales.
- Acceder, modificar o destruir cuentas o datos que no sean propios.
- Vulnerar la privacidad de los usuarios o explotar una vulnerabilidad más allá del mínimo necesario para demostrarla.
- Usar ingeniería social, phishing contra el personal o ataques físicos.
Cómo reportar
Reporte las vulnerabilidades a contact@nexefii.com. Incluya una descripción clara, pasos de reproducción, impacto potencial y cualquier artefacto de prueba de concepto estrictamente necesario — sin incluir datos personales de terceros.
Le pedimos que conceda un tiempo razonable para la investigación y la corrección antes de cualquier divulgación pública, y que no divulgue detalles que puedan poner en riesgo a los usuarios.
Cómo se tratan los reportes
El equipo de seguridad de NEXEFII pretende confirmar la recepción, clasificar el reporte, evaluar el impacto y conducir la corrección según la gravedad. Podremos contactarle para aclaraciones.
No divulgamos reglas internas de detección, indicadores de monitoreo ni detalles operativos que puedan facilitar el abuso. La ausencia de esos detalles en esta política es intencional.
Recompensas
Esta política no promete una recompensa económica (bug bounty). Cualquier programa de recompensas, si existe y cuando exista, y sus condiciones, se describirán por separado. No presuma elegibilidad para un pago por el simple hecho de enviar un reporte.
No autorización para atacar a terceros
Esta política no autoriza ninguna actividad contra sistemas de terceros, subprocesadores, proveedores de infraestructura o entornos de clientes. Probar tales sistemas sin una autorización propia y específica puede ser ilegal y no está cubierto por esta política.
Versión y vigencia
Versión 2026.1. Última actualización el 2026-07-11. Fecha de vigencia pendiente de publicación tras la revisión jurídica y de seguridad.