Política de Seguridad

Climakers aplica controles de seguridad durante el diseño, la implementación, la revisión, la liberación y el mantenimiento, incluyendo la consideración de permisos, comportamiento, elecciones de dependencias e integridad de liberación.

Climakers mantiene el software actualizado y prefiere implementaciones más simples y revisables cuando reducen la superficie de ataque, la complejidad o el riesgo de cadena de suministro.

Climakers sigue principios de mínimo privilegio y busca solicitar o requerir solo el acceso necesario para el flujo documentado del producto. Las decisiones de acceso buscan ser estrechas, explícitas y operativamente entendibles.

Climakers también aplica un enfoque de mínimo uso de librerías de terceros cuando es práctico, con una preferencia por construir lógica central propia cuando esa decisión mejora la revisabilidad o reduce la exposición por dependencias.

Los clientes siguen siendo responsables de gestionar tokens, variables de entorno, seguridad de estaciones de trabajo y hosts, controles de almacenamiento, controles de acceso, copias de seguridad y la postura general de seguridad y cumplimiento de su propio entorno.

Al solicitar soporte, los clientes deben proporcionar diagnósticos redactados y evitar transmitir secretos, contenido regulado o información privada innecesaria salvo que la divulgación sea estrictamente necesaria y aprobada internamente.

Climakers busca apoyar a equipos que operan bajo marcos estructurados como ISO 9001, ISO 27001, ISO 27017, NIS 2, SOC 2, GMP y requisitos similares, pero los clientes siguen siendo responsables de sus propias evaluaciones, evidencias, controles y atestaciones.

Climakers en sí no está actualmente certificado bajo SOC 2, ISO 27001, ISO 27017 ni otras atestaciones equivalentes de terceros. Las referencias a estos marcos describen la intención de diseño de los productos de Climakers y no constituyen una declaración de que Climakers posea una certificación o un informe de auditoría independiente bajo ninguno de ellos.

Climakers acoge el reporte responsable de incidencias de seguridad. Las vulnerabilidades sospechadas deben reportarse de forma privada a support@climakers.com con suficiente detalle para reproducir el problema de manera segura, incluyendo la versión del producto afectado, el entorno y una descripción clara del impacto. Climakers acusará recibo de un reporte de buena fe dentro de un plazo razonable de triaje, mantendrá al investigador informado del avance y trabajará para publicar o distribuir las correcciones sin retrasos innecesarios. Climakers no opera actualmente un programa de bug bounty remunerado.

Los investigadores que actúen de buena fe bajo esta política — esforzándose razonablemente por evitar violaciones de privacidad, interrupciones del servicio y destrucción de datos; probando solo sistemas dentro del alcance de la infraestructura operada por Climakers y de los productos de Climakers; y dando a Climakers una oportunidad razonable para investigar antes de la divulgación pública — no enfrentarán acciones legales por parte de Climakers por esa actividad. Este puerto seguro se limita a los sistemas operados por Climakers, no obliga a terceros y no se extiende a actividades prohibidas por la ley aplicable.

El sitio público de Climakers se sirve sobre HTTPS con TLS, redirige el tráfico HTTP a HTTPS y se configura con HTTP Strict Transport Security para que los navegadores compatibles rechacen las conexiones inseguras. Los encabezados HTTP de seguridad estándar se aplican cuando la plataforma los soporta. El sitio se aloja en una plataforma gestionada que proporciona entornos de build aislados y controles operativos para el runtime.

Nunca es necesario que el contenido documental del cliente fluya por el sitio público. El sitio opera como un front-end fino de marketing y licenciamiento; el pago y la emisión de licencias los gestiona el comerciante de registro bajo el programa de seguridad de ese proveedor.

Las versiones de los productos de Climakers se producen a partir de pipelines de build controlados que fijan dependencias de terceros, registran sus versiones y buscan mantener la cadena de artefactos de release auditable. Los artefactos de release se distribuyen a través de los canales documentados en la documentación del producto. Los clientes deben obtener las herramientas de Climakers solo desde esos canales documentados.

Climakers revisa los avisos de dependencias y las divulgaciones de seguridad para los componentes de terceros listados en los documentos de términos de licencia del producto, y busca publicar actualizaciones que aborden los problemas conocidos de manera oportuna y proporcionada. Los clientes deben mantener actualizadas las herramientas de Climakers instaladas para recibir las correcciones de seguridad.