Security

Responsible disclosure policy, vulnerability reporting, and data breach commitments.

RESPONSIBLE DISCLOSURE

Reporting a Vulnerability

If you discover a security vulnerability in Comorando's infrastructure, API, or website, we ask that you report it responsibly before public disclosure.

Security contact: security@comorando.com

Please include in your report:

A clear description of the vulnerability
Steps to reproduce the issue
Potential impact assessment
Your contact information (optional, for follow-up)

We commit to acknowledging your report within 48 hours and providing a resolution timeline within 5 business days.

We will not pursue legal action against researchers who act in good faith and follow this policy.

GDPR · DATA BREACH

Data Breach Notification

In the event of a data breach affecting personal data, Comorando commits to:

Notifying affected users within 72 hours of becoming aware of the breach — in compliance with GDPR Article 33
Notifying the relevant supervisory authority within the same 72-hour window if required
Providing a clear description of the breach, the data affected, and the measures taken
Maintaining a breach register for internal audit purposes

Notification will be sent to the email address associated with your Comorando account.

PGP KEY

Encrypted Reports

For sensitive vulnerability reports, you may encrypt your message using our PGP public key.

Key ID: Pending — contact security@comorando.com to request the current key fingerprint.

Plain-text reports to security@comorando.com are also accepted for most disclosures.

Scope

In scope for responsible disclosure:

api.comorando.com — REST API endpoints
comorando.com — main website and checkout flow
Authentication and session handling (JWT, API keys)
Data isolation between organizations (multi-tenancy)

Out of scope: third-party services (PayPal, Supabase, Redis), social engineering attacks, physical security.

DIVULGACIÓN RESPONSABLE

Reportar una Vulnerabilidad

Si descubrís una vulnerabilidad de seguridad en la infraestructura, API o sitio web de Comorando, te pedimos que la reportes de forma responsable antes de cualquier divulgación pública.

Contacto de seguridad: security@comorando.com

Por favor incluí en tu reporte:

Una descripción clara de la vulnerabilidad
Pasos para reproducir el problema
Evaluación del impacto potencial
Tu información de contacto (opcional, para seguimiento)

Nos comprometemos a acusar recibo de tu reporte en 48 horas y a proporcionar un cronograma de resolución en 5 días hábiles.

No emprenderemos acciones legales contra investigadores que actúen de buena fe y sigan esta política.

GDPR · VIOLACIÓN DE DATOS

Notificación de Violación de Datos

En caso de una violación de datos que afecte datos personales, Comorando se compromete a:

Notificar a los usuarios afectados dentro de las 72 horas de tomar conocimiento de la violación — en cumplimiento del Artículo 33 del GDPR
Notificar a la autoridad supervisora competente en el mismo plazo de 72 horas si corresponde
Proporcionar una descripción clara de la violación, los datos afectados y las medidas tomadas
Mantener un registro de violaciones para fines de auditoría interna

La notificación se enviará al email asociado a tu cuenta de Comorando.

CLAVE PGP

Reportes Cifrados

Para reportes de vulnerabilidades sensibles, podés cifrar tu mensaje usando nuestra clave pública PGP.

ID de clave: Pendiente — contactá a security@comorando.com para solicitar la huella digital de la clave actual.

Los reportes en texto plano a security@comorando.com también son aceptados para la mayoría de las divulgaciones.

Alcance

En alcance para divulgación responsable:

api.comorando.com — endpoints de la API REST
comorando.com — sitio web principal y flujo de compra
Autenticación y manejo de sesiones (JWT, claves API)
Aislamiento de datos entre organizaciones (multi-tenancy)

Fuera de alcance: servicios de terceros (PayPal, Supabase, Redis), ataques de ingeniería social, seguridad física.

DIVULGAÇÃO RESPONSÁVEL

Reportar uma Vulnerabilidade

Se você descobrir uma vulnerabilidade de segurança na infraestrutura, API ou site do Comorando, pedimos que a reporte de forma responsável antes de qualquer divulgação pública.

Contato de segurança: security@comorando.com

Por favor inclua no seu relatório:

Uma descrição clara da vulnerabilidade
Passos para reproduzir o problema
Avaliação do impacto potencial
Suas informações de contato (opcional, para acompanhamento)

Comprometemo-nos a acusar o recebimento do seu relatório em 48 horas e a fornecer um cronograma de resolução em 5 dias úteis.

Não tomaremos ações legais contra pesquisadores que atuem de boa-fé e sigam esta política.

GDPR · VIOLAÇÃO DE DADOS

Notificação de Violação de Dados

Em caso de violação de dados que afete dados pessoais, o Comorando se compromete a:

Notificar os usuários afetados dentro de 72 horas após tomar conhecimento da violação — em conformidade com o Artigo 33 do GDPR
Notificar a autoridade supervisora relevante no mesmo prazo de 72 horas, se necessário
Fornecer uma descrição clara da violação, os dados afetados e as medidas tomadas
Manter um registro de violações para fins de auditoria interna

A notificação será enviada ao endereço de e-mail associado à sua conta do Comorando.

CHAVE PGP

Relatórios Criptografados

Para relatórios de vulnerabilidades sensíveis, você pode criptografar sua mensagem usando nossa chave PGP pública.

ID da chave: Pendente — entre em contato com security@comorando.com para solicitar a impressão digital da chave atual.

Relatórios em texto simples para security@comorando.com também são aceitos para a maioria das divulgações.

Escopo

Em escopo para divulgação responsável:

api.comorando.com — endpoints da API REST
comorando.com — site principal e fluxo de checkout
Autenticação e gerenciamento de sessões (JWT, chaves de API)
Isolamento de dados entre organizações (multi-tenancy)

Fora do escopo: serviços de terceiros (PayPal, Supabase, Redis), ataques de engenharia social, segurança física.