Política de seguridad.

Reportar una vulnerabilidad

Si encuentras una vulnerabilidad en culturetech.cl o en cualquier código abierto bajo la organización github.com/CultureTechCL, escríbenos a security@culturetech.cl.

Acusamos recibo dentro de 72 horas y damos seguimiento concreto del estado del fix. Si prefieres cifrar el reporte, pide la clave PGP en el mismo correo y la enviamos antes de intercambiar detalles técnicos.

Alcance

• Aplicación web culturetech.cl y subdominios *.culturetech.cl.
• Workers, APIs y endpoints publicados bajo culturetech.cl/api/*.
• Endpoints MCP publicados bajo /.well-known/mcp-servers.json cuando existan.
• Repositorios públicos en github.com/CultureTechCL.

Fuera de alcance

• Ataques de denegación de servicio (DoS/DDoS).
• Ingeniería social a personas del equipo, contratistas o clientes.
• Reportes automáticos sin prueba de impacto (scanner output crudo).
• Falta de cabeceras de seguridad cuyo impacto real no esté demostrado.

Compromisos con quien reporta

• No tomamos acciones legales contra investigación de buena fe dentro del alcance.
• Acreditamos públicamente al reportante en el security advisory salvo solicitud expresa.
• Coordinamos un período razonable de disclosure (90 días por defecto, extendible si el fix requiere coordinación con terceros).

Postura técnica

El sitio se sirve completo desde Cloudflare Workers + Static Assets. TLS forzado en todos los dominios, HSTS habilitado, CSP estricta, Turnstile en el formulario de contacto. Los secretos viven exclusivamente en Cloudflare Secrets — nunca en el repo. Procedimientos operacionales documentados internamente en docs/run/.

security.txt

Servimos /.well-known/security.txt siguiendo el RFC 9116 con esta misma información en formato legible por máquina.