1. Objetivo de la política

LuxpowerTek se compromete a ofrecer productos y servicios seguros y confiables a nuestros clientes globales. Animamos a los investigadores de seguridad, socios y clientes a reportar posibles vulnerabilidades a través de prácticas de divulgación responsable, lo que nos permite abordar y mitigar rápidamente los riesgos.

2. Proceso de presentación de informes

Para enviar un informe de vulnerabilidad, utilice los siguientes canales:

Correo electrónico

seguridad@luxpowertek.com (Se recomienda el cifrado PGP)

Formulario en línea/Portal de seguridad

Los detalles de cualquier portal de seguridad dedicado se anunciarán por separado.

Incluya la siguiente información en su informe:

  • Modelo de producto afectado y versión de firmware/software
  • Descripción detallada de la vulnerabilidad y pasos para reproducirla (o prueba de concepto)
  • Análisis del impacto potencial
  • Información de contacto para comunicación de seguimiento

CONSEJOS:

Para garantizar una divulgación responsable, absténgase de revelar públicamente la vulnerabilidad hasta que se publique una solución oficial.

3. Alcance de las pruebas de seguridad y límites de cumplimiento

Actividades de prueba permitidas

  • Prueba de dispositivos locales
  • Análisis de la comunicación en red
  • Configuración y validación de permisos

Actividades prohibidas❌

  • Acceso no autorizado o robo de datos del usuario
  • Explotación de vulnerabilidades que provoquen interrupciones o daños en el servicio
  • Ataques de escaneo o denegación de servicio a gran escala dirigidos a entornos de producción

4. Proceso y cronograma de respuesta a la vulnerabilidad

LuxpowerTek se adhiere a las mejores prácticas internacionales y ha establecido un proceso de respuesta estandarizado para manejar vulnerabilidades:

  1. Reconocimiento:Dentro de los 5 días hábiles de recibir un informe, confirmaremos la recepción.
  2. Validación y evaluaciónNuestro equipo de seguridad validará la vulnerabilidad y evaluará su nivel de riesgo utilizando el estándar CVSS v3.1.
  3. Plan de remediación: Dependiendo de la gravedad, desarrollaremos un plan de solución o mitigación.
  4. ComunicaciónMantendremos contacto con el reportero durante todo el proceso, solicitando información adicional según sea necesario.
  5. Divulgación pública osure:Una vez resuelta, se publicará un aviso de vulnerabilidad en nuestro boletín de seguridad, con reconocimiento al investigador si se proporciona el consentimiento.

El plazo típico de resolución y divulgación es 90–120 días, con vulnerabilidades críticas priorizadas para un manejo acelerado.

5. Clasificación de la gravedad de la vulnerabilidad

Las vulnerabilidades se clasifican según el estándar CVSS v3.1 de la siguiente manera:

Bajo (0,1–3,9)

Impacto mínimo, resuelto en iteraciones posteriores.

Mediano (4,0–6,9)

Impacto limitado, abordado en actualizaciones de software de rutina.

Alto (7,0–8,9)

Vulnerabilidades de alto impacto priorizadas para una pronta resolución.

Crítico (9.0–10.0)

Solución inmediata con lanzamiento urgente de parche.

6. Aviso

Principios de divulgación coordinada

LuxpowerTek se adhiere a un ECV(Divulgación de vulnerabilidades coordinada) modelo para garantizar que las vulnerabilidades no se divulguen públicamente antes del lanzamiento de un parche.

Se solicita a los investigadores que proporcionen un período de remediación razonable, normalmente 90 días, para facilitar una resolución oportuna.

Exención legal

Siempre que las pruebas y la divulgación de vulnerabilidades se realicen de conformidad con esta política, LuxpowerTek no emprenderá acciones legales contra los investigadores y considerará dichas actividades como Investigación de seguridad de buena fe.

Descargo de responsabilidad

Esta política puede ser actualizadad para reflejar los avances de la industria y los requisitos legales. LuxpowerTek no asume ninguna garantía ni responsabilidad por pérdidas directas o indirectas derivadas de la divulgación de vulnerabilidades o de demoras en su remediación.