Ejemplo de Política de Seguridad


Última modificación 05/05/2025 por Vincent G.

| |

⚠️ Este texto ha sido traducido al español por ChatGPT. Pedimos disculpas por cualquier error de traducción.


🚨 Reporte de una vulnerabilidad



La seguridad de nuestros módulos y de nuestros clientes es primordial. Por eso animamos a los investigadores en seguridad a analizar nuestros módulos y a notificarnos cualquier vulnerabilidad detectada, respetando las buenas prácticas de divulgación responsable.

Nos comprometemos a identificar y corregir cualquier vulnerabilidad, y a comunicarnos de manera transparente con todas las partes implicadas durante todo el proceso.

Si cree haber descubierto una vulnerabilidad en uno de nuestros módulos, puede informarla de manera responsable a la siguiente dirección: [su email].

Opcional (a su criterio – eliminar si no aplica) Solo se procesarán los informes enviados de forma cifrada mediante nuestra clave pública GPG [enlace a su clave GPG]; los demás serán eliminados al recibirlos.

Le invitamos a proporcionar la mayor cantidad de detalles posible (descripción, impacto, versión afectada, pasos para reproducir).

Opcional (a su criterio – eliminar si no aplica) Informamos que los informes no reproducibles o no relacionados directamente con nuestros módulos serán ignorados.


📜 Nuestra política de gestión de vulnerabilidades



De acuerdo con la Carta TouchWeb para una ciberseguridad responsable, nuestro equipo aplica los siguientes principios:

  • Acuse de recibo de cualquier informe relevante en un máximo de 7 días. (CVSS ≥ 4.0 – Puntuación a su discreción con un máximo de 7.5)
  • Análisis de impacto y planificación de la corrección en un máximo de 30 días.
  • Publicación de un aviso de seguridad con un identificador CVE si la puntuación CVSS es ≥ 7.5. (Puntuación a su discreción con un máximo de 7.5)
  • Ninguna corrección se publicará de forma silenciosa.


Paralelamente, asumimos los siguientes compromisos para garantizar una gestión responsable y ética de las vulnerabilidades:

  • No emprender acciones legales contra investigadores que actúen de buena fe, especialmente en el marco del programa YesWeHack gestionado por TouchWeb SAS.
  • Garantizamos que ningún acuerdo de confidencialidad, incluso en el caso de trabajos en marca blanca, impedirá la publicación transparente de un aviso de seguridad con identificador CVE, conforme a las mejores prácticas del sector.


Somos plenamente conscientes de que esta transparencia es esencial para permitir a las terceras partes implicadas (agencias, comerciantes, etc.) cumplir con sus obligaciones de conformidad, especialmente en el marco del estándar PCI-DSS o de alguna de sus versiones simplificadas, como la SAQ-A.


🛡️ Autorización de publicación



Autorizamos expresamente a la empresa TouchWeb SAS a publicar información relacionada con las vulnerabilidades corregidas en nuestros módulos en su sitio web oficial, de acuerdo con los compromisos establecidos en la Carta de Ciberseguridad Responsable.

Esta publicación puede incluir:

  • Un identificador CVE asociado a la vulnerabilidad.
  • Un aviso de seguridad que describa claramente el problema y su solución.
  • Las versiones afectadas y la versión con la corrección.
  • Un parche fácil de aplicar cuando la actualización no sea posible.
  • Cualquier información útil para que usuarios y agencias puedan protegerse rápidamente.

Distintivo de Ciberseguridad Responsable de TouchWeb


El bloque “Publicación” es opcional pero altamente recomendado – si existen divulgaciones.

🔍 Publicación



A continuación, encontrará la lista de vulnerabilidades de seguridad conocidas y corregidas:


Fecha Módulo Versión CWE CVSS CVE
Afectada Corregida
2024-10-15 Módulo de Pago XYZ 2.3.0 a 2.3.4 2.3.5 CWE-22 7.5 CVE-AAAA-BBBB [Enlace a la CVE publicada en TouchWeb.fr]