# Política de Seguridad — Plataforma OE

La seguridad es prioritaria en **Plataforma OE**. Agradecemos los reportes responsables.

## Soporte de versiones
- La rama principal mantenida es **main**.
- Los parches de seguridad se aplican a la **última versión estable** publicada en GitHub.

## 🔐 Reportar vulnerabilidades (responsible disclosure)
**No abras un Issue público.**  
Envía un correo privado a:

**asotor@gmail.com**  
(Propietario y responsable del proyecto)

Incluye:
- Descripción de la vulnerabilidad
- Pasos para reproducirla
- Impacto potencial
- Evidencia técnica (logs, capturas, payloads)
- Sugerencia de mitigación (si la tienes)

## ⏱️ Tiempos de respuesta
- Confirmación de recepción: **48 horas**
- Evaluación inicial: **7 días**
- Publicación de fix (si aplica): **en un plazo razonable** según complejidad

## 📍 Alcance
- Plataforma web `plataformaOE`
- Scripts CLI (cron, sincronizaciones, cargas masivas)
- Integraciones con Google APIs (Sheets, Drive, Calendar)
- Mecanismos de autenticación, roles y permisos

## 🚫 No permitido
- Divulgar vulnerabilidades públicamente sin previo aviso
- Pruebas destructivas o que afecten datos reales
- Acceder o exfiltrar información de usuarios sin autorización
- Uso de credenciales reales en pruebas

## ✅ Buenas prácticas para contribuyentes
- No subir credenciales, tokens o claves privadas
- Evitar datos sensibles en commits/Issues/PRs
- Seguir estándares de código seguro (PHP 8.1+, PSR-12)
- Reportar cualquier comportamiento sospechoso

## 🙏 Reconocimiento
Agradecemos los reportes responsables. Cuando corresponda, reconoceremos las contribuciones en las notas de versión.