Confianza
Política de divulgación de bug bounty
Damos la bienvenida a la divulgación coordinada de vulnerabilidades. Reporta tus hallazgos a security@legalaudit.ch.
En el alcance
- El dominio legalaudit.ch y los subdominios propiedad de LegalAudit SA.
- Lógica de la aplicación autenticada y no autenticada.
- Problemas de límites de autorización/tenancy.
- Inyección del lado del servidor, SSRF, deserialización, condiciones de carrera.
- Problemas de integridad de dossiers, primitivas de manipulación de la cadena de auditoría.
Fuera del alcance
- Denegación de servicio, ataques volumétricos, fuerza bruta.
- Self-XSS, falta de cabeceras de buenas prácticas sin un exploit funcional.
- Ingeniería social del personal o los clientes de LegalAudit.
- Ataques físicos contra oficinas o centros de datos.
- Servicios de terceros (Stripe, AWS): repórtalos directamente a ellos.
Niveles de recompensa (provisionales — el programa formal se lanza en el Q3 2026)
| Gravedad | Recompensa (CHF) |
|---|---|
| Baja | 100+ |
| Media | 500+ |
| Alta | 2000+ |
| Crítica | 5000+ |
Reporte
- Envía un email a security@legalaudit.ch con pasos de reproducción claros.
- Usa la clave PGP para cualquier payload que contenga datos de clientes.
- No exfiltres datos más allá de lo estrictamente necesario para la prueba.
- Concede una ventana de 90 días para la corrección antes de la divulgación pública.
La investigación de buena fe realizada dentro de esta política no dará lugar a acciones legales.
Documento informativo publicado por LegalAudit SA. Las declaraciones reflejan el estado actual de los controles y se revisan trimestralmente. No constituyen una garantía contractual salvo que se incorporen a un acuerdo firmado. Para condiciones vinculantes, solicita el DPA firmado en privacy@legalaudit.ch.