Política de Divulgación Responsable de FRIDING

  1. Introduction

    En FRIDING, la seguridad de nuestra comunidad y la protección de los datos personales de nuestros usuarios son prioridades fundamentales. Como plataforma de intermediación social que conecta personas para generar experiencias y encuentros, asumimos el compromiso de mantener sistemas de información confiables, íntegros y seguros. Si bien implementamos medidas de protección alineadas con los estándares del sector digital y la normativa de protección de datos (Ley Nro. 29733), reconocemos que la seguridad absoluta no existe. Por ello, FRIDING abre un canal de colaboración con la comunidad de investigadores de seguridad, expertos y usuarios éticos que deseen contribuir a identificar vulnerabilidades en nuestros sistemas. La presente Política de Divulgación Responsable establece el marco ético, legal y operativo para que cualquier persona pueda reportar hallazgos de seguridad de manera confidencial y constructiva, permitiéndonos corregirlos oportunamente en beneficio de toda la comunidad de FRIDING.

  2. La relación entre FRIDING y quienes reporten vulnerabilidades se regirá por los siguientes principios

    Todo usuario deberá:

    Principio Descripción
    Buena fe Se presume que todo reporte se realiza con la intención genuina de colaborar con la seguridad de la plataforma.
    Confidencialidad FRIDING protegerá la identidad de quienes reporten de forma anónima y mantendrá reserva sobre la información recibida.
    Proporcionalidad Las acciones del investigador deben limitarse a lo necesario para identificar y reportar la vulnerabilidad, sin causar daños.
    Transparencia FRIDING se compromete a informar sobre el estado del reporte y las acciones adoptadas cuando el investigador haya proporcionado datos de contacto.
    Legalidad Toda investigación debe realizarse dentro del marco legal peruano y respetando los derechos de FRIDING y de terceros.

  3. Alcance de la Política

    1. Esta política aplica a:
      1. El sitio web de FRIDING (https://friding.com y sus subdominios).
      2. Las aplicaciones móviles oficiales de FRIDING (cuando existan).
      3. La API y servicios backend asociados a la plataforma.
      4. Código fuente, sistemas de autenticación y bases de datos que formen parte de la infraestructura de FRIDING
    2. Quedan excluidos de esta política:
      1. Los sitios web de terceros enlazados desde FRIDING (como WhatsApp u otras redes sociales).
      2. Las interacciones físicas entre usuarios durante las salidas organizadas a través de la plataforma. Aunque ciertamente escuchamos sugerencias acerca de cómo podríamos mejorar el ecosistema virtual.
      3. Conductas que impliquen acceso no autorizado a cuentas de otros usuarios o modificación de datos sin consentimiento.

  4. Procedimiento para Reportar Vulnerabilidades

    1. Contenido del reporte

      Para que FRIDING pueda procesar adecuadamente tu reporte, este debe contener:

      1. Tipo de vulnerabilidad (ej: inyección SQL, XSS, exposición de datos, autenticación débil, etc.).
      2. Descripción técnica detallada del hallazgo, incluyendo los pasos necesarios para reproducirlo.
      3. Impacto potencial estimado (qué datos podrían verse comprometidos, qué funcionalidades afectadas, etc.).
      4. Herramientas utilizadas durante la investigación (sin incluir software malicioso).
      5. Evidencias en formatos permitidos: capturas de pantalla (JPG, PNG) o archivos PDF. No incluir archivos ejecutables o scripts maliciosos

    2. Canal de envío

      Los reportes deben remitirse exclusivamente a: contacto@friding.com Con el asunto: "Reporte de Vulnerabilidades - FRIDING"

    3. Confidencialidad del remitente

      Por defecto, FRIDING tratará todos los reportes como anónimos. No se realizará seguimiento ni almacenamiento de la dirección de correo del remitente, a menos que este solicite expresamente ser contactado para recibir actualizaciones sobre el estado de su reporte o para efectos de reconocimiento.

  5. Compromisos de FRIDING

    1. Al recibir un reporte conforme a esta política, FRIDING se compromete a:
      1. Acusar recibo del reporte en un plazo máximo de 5 días hábiles, cuando el investigador haya proporcionado un medio de contacto.
      2. Evaluar la validez y criticidad del hallazgo, manteniendo informado al investigador sobre el avance de la revisión.
      3. Implementar las correcciones necesarias en un plazo razonable, dependiendo de la complejidad de la vulnerabilidad.
      4. No adoptar acciones legales contra el investigador que haya actuado de buena fe y cumpliendo los términos de esta política.
      5. Reconocer públicamente la contribución del investigador (a menos que prefiera permanecer en anonimato) en un apartado especial dentro del sitio web o en futuras actualizaciones

  6. Términos y Condiciones para Investigadores

    1. Aceptación

      El envío de un reporte a FRIDING implica la aceptación plena de los presentes Términos y Condiciones para Investigadores.

    2. Conducta permitida

      Se considera una actuación ética y válida:

      1. Identificar vulnerabilidades sin explotarlas más allá de lo necesario para su verificación.
      2. No acceder, modificar o eliminar datos que no sean propios.
      3. No realizar pruebas que puedan degradar el rendimiento de los sistemas, como ataques de denegación de servicio (DDoS).
      4. No divulgar públicamente la vulnerabilidad antes de que FRIDING haya tenido la oportunidad de corregirla y a expresa autorización por parte de FRIDING.

    3. Conductas prohibidas

      Queda estrictamente prohibido:

      1. Realizar ingeniería social, phishing o cualquier técnica que involucre a otros usuarios.
      2. Acceder a cuentas de otros usuarios sin su consentimiento.
      3. Utilizar la vulnerabilidad para obtener beneficio personal o causar daño.
      4. Exigir recompensas económicas como condición para reportar una vulnerabilidad.

    4. Consecuencias del incumplimiento

      El incumplimiento de estas condiciones podrá dar lugar a:

      1. La pérdida de cualquier derecho al reconocimiento.
      2. La suspensión o cancelación de cuentas asociadas al investigador en FRIDING.
      3. El inicio de acciones legales conforme a la legislación peruana (incluyendo delitos informáticos tipificados en el Código Penal).

  7. Confidencialidad y Propiedad Intelectual

    1. Confidencialidad

      Toda la información intercambiada entre el investigador y FRIDING en el marco de un reporte será considerada confidencial. El investigador se obliga a:

      1. No divulgar el hallazgo a terceros sin autorización escrita de FRIDING.
      2. No utilizar la información para fines distintos a la colaboración en seguridad.
      3. Destruir cualquier copia de las evidencias una vez concluido el proceso de reporte, salvo que FRIDING autorice lo contrario.
    2. Licencia sobre el informe

      Al enviar un reporte, el investigador concede a FRIDING una licencia irrevocable, gratuita, no exclusiva y mundial para utilizar, reproducir, adaptar y modificar la información contenida en el reporte, con el único propósito de analizar, corregir y mejorar la seguridad de los sistemas de FRIDING

  8. Reconocimiento y Agradecimientos

    1. FRIDING valora profundamente la colaboración de la comunidad de investigadores. Por ello, dependiendo de la relevancia y calidad del reporte, podremos:
      1. Incluir el nombre del investigador (o seudónimo) en un "Muro de Agradecimientos" dentro del sitio web.
      2. Mencionar la contribución en comunicaciones oficiales o actualizaciones de la plataforma.
      3. Otorgar un reconocimiento especial en eventos o actividades organizadas por FRIDING (previa coordinación).
    2. El reconocimiento no constituye una compensación económica ni genera vínculo laboral o contractual alguno.

  9. Exclusiones y Limitaciones

    1. Esta política no cubre:
      1. Vulnerabilidades en servicios de terceros integrados (WhatsApp, pasarelas de pago, etc.).
      2. Reportes que no contengan información suficiente para ser evaluados.
      3. Hallazgos que ya sean de conocimiento público al momento del reporte.
      4. Pruebas realizadas sin autorización en sistemas de producción que puedan afectar la experiencia de usuarios
    2. FRIDING se reserva el derecho de interpretar y aplicar esta política según su mejor criterio, siempre en busca de la protección de su comunidad.

  10. Actualizaciones

    1. FRIDING podrá actualizar esta política en cualquier momento. Las modificaciones serán publicadas en el sitio web y entrarán en vigor inmediatamente después de su publicación. Se recomienda a los investigadores revisar periódicamente esta política para estar al tanto de posibles cambios.

  11. Contacto

    1. Para cualquier consulta adicional sobre esta política, puedes escribir a: soporte@friding.com
Vigente a partir de 15 / 03 / 2026