Política de Gestión de Vulnerabilidades e Incidentes de Fichio
Esta política define cómo Saraworld Informatica SLU (“Saraworld”) gestiona las vulnerabilidades y incidentes de seguridad que afecten a Fichio (incluyendo su funcionalidad HCE en iOS/Android). Su objetivo es minimizar el riesgo, proteger la información y cumplir obligaciones regulatorias (p. ej., GDPR).
1. Alcance y principios
Aplica a servicios backend, apps móviles, lectores/terminales, redes y proveedores críticos. Principios: detección temprana, mitigación rápida, transparencia y mejora continua.
2. Canal de reporte y horario
Canal de reporte público: info@fichio.com (asunto: “Security Report – Fichio”). Horario de triaje: L–V 9–18h CET; alertas críticas 24/7.
3. Clasificación de severidad y SLA
| Severidad | Ejemplos | SLA de triaje | SLA de mitigación |
|---|---|---|---|
| Crítica | RCE/exploit activo, fuga de datos, suplantación HCE | < 24 h | ≤ 72 h |
| Alta | Ejecución de código potencial, bypass de autenticación | < 48 h | ≤ 7 días |
| Media | Exposición parcial, fallo de control no explotado | < 3 días | ≤ 30 días |
| Baja | Mejora de hardening, logging, UX de seguridad | < 5 días | ≤ 90 días |
4. Gestión de vulnerabilidades
Fuentes: reportes externos, escáneres periódicos (SCA/SAST/DAST), auditorías y pentests. Se utiliza CVE/CVSS como referencia. Flujo: recepción → registro → evaluación → contención → parche → verificación → comunicación → cierre.
5. Gestión de dependencias y parches
Monitorización de dependencias (bibliotecas, SDKs, SO). Aplicación de parches de seguridad siguiendo los SLA. Gestión de secretos mediante almacenes seguros; rotación periódica; principio de mínimo privilegio.
6. Incidentes de seguridad y brechas de datos
Ante un incidente, se prioriza la contención y preservación de evidencias. Si afecta a datos personales, se notificará al Responsable y, si procede, a la autoridad de control en ≤ 72 h. Cuando el incidente afecte a la funcionalidad HCE o al uso contactless, se notificará a Apple con diligencia.
7. Registro, conservación y auditoría
Registro de vulnerabilidades e incidentes con su línea temporal, decisión y remedio. Conservación mínima: 12 meses. Auditorías internas periódicas del proceso y pruebas de efectividad.
8. Copias de seguridad y continuidad
Backups diarios con retención mínima de 30 días. Pruebas de restauración trimestrales. Planes de continuidad/DR con RTO/RPO definidos para servicios críticos.
9. Hardening, autenticación y trazabilidad
Hardening de sistemas y redes; segmentación de entornos; WAF/IDS cuando aplique. MFA y RBAC en consolas y paneles; registro exhaustivo (accesos, cambios, eventos de seguridad) con retención alineada.
10. Comunicación y transparencia
Se informará a clientes afectados sin demora indebida, con detalles del impacto, medidas tomadas y acciones recomendadas. Las lecciones aprendidas se incorporan al proceso.
11. Divulgación responsable
Saraworld acepta reportes de seguridad de buena fe en info@fichio.com. No se ofrece bug bounty por el momento. Se reconoce la autoría del investigador si lo solicita.