Skip to content

Security: odegaard12/Mapa-Apagones

Security

SECURITY.md

Política de seguridad

Mapa Apagones es un proyecto ciudadano público que aplica privacidad por diseño. Esta política describe cómo comunicar problemas de seguridad o privacidad sin exponer información sensible.

Versiones mantenidas

Se mantiene la versión presente en la rama main y el despliegue público actual. Las ramas antiguas, previews y copias de terceros no reciben soporte de seguridad independiente.

Cómo comunicar una vulnerabilidad

No abras una issue pública, discusión o pull request que revele una vulnerabilidad antes de que pueda revisarse.

Envía el informe de forma privada a:

  • privacidad@mapa-apagones.es
  • Asunto recomendado: [SEGURIDAD] Descripción breve

Incluye únicamente lo necesario:

  • componente o URL afectada;
  • comportamiento observado;
  • impacto probable;
  • pasos mínimos y seguros para reproducirlo;
  • versión, navegador o entorno cuando sea relevante;
  • propuesta de mitigación, si la tienes.

Qué no debe enviarse

No envíes ni publiques:

  • CUPS;
  • nombres, emails o teléfonos de usuarios;
  • direcciones exactas;
  • coordenadas privadas;
  • tokens, claves, cookies o secretos;
  • bases de datos, backups o logs completos;
  • respuestas raw de APIs externas;
  • geometrías de red o inventarios de infraestructura crítica;
  • datos obtenidos mediante acceso no autorizado.

Los ejemplos deben estar anonimizados y reducidos al mínimo imprescindible.

Tiempos objetivo

Son objetivos operativos, no una garantía contractual:

  • acuse de recibo: hasta 5 días laborables;
  • clasificación inicial: hasta 10 días laborables;
  • actualizaciones posteriores: según gravedad y complejidad.

Los problemas críticos que puedan afectar a personas, privacidad o disponibilidad pública tendrán prioridad.

Alcance

Dentro de alcance:

  • código de este repositorio;
  • mapa-apagones.es;
  • API pública de Mapa Apagones;
  • flujo anónimo de reportes;
  • controles antiabuso y privacidad;
  • exposición accidental de datos o secretos del proyecto.

Fuera de alcance:

  • ingeniería social;
  • denegación de servicio o pruebas de carga agresivas;
  • escaneos masivos;
  • infraestructuras de terceros fuera de nuestro control;
  • datos o servicios de distribuidoras eléctricas;
  • problemas que requieran acceder a datos personales de otras personas.

Divulgación coordinada

Agradecemos que el problema se mantenga privado hasta que exista una corrección o mitigación razonable. Cuando proceda, se reconocerá la colaboración con autorización de la persona informante.

No existe actualmente un programa de recompensas económicas.

Emergencias

Mapa Apagones no sustituye a emergencias, distribuidoras ni autoridades. Ante riesgo eléctrico, incendio o peligro personal, contacta con el 112 y con la distribuidora correspondiente.

There aren't any published security advisories