Legal

Código de Ética

Última actualización: 5 de mayo de 2026

En Zyrion entendemos que la ciberseguridad ofensiva conlleva una responsabilidad ética y legal de primer orden. Este Código de Ética define los principios y compromisos que guían todas nuestras actuaciones, garantizando que nuestro trabajo se desarrolla siempre dentro del marco legal y con el máximo respeto a los derechos de las personas y organizaciones.

1. Principios Fundamentales

01

Autorización expresa y por escrito

Ningún test de penetración, análisis de vulnerabilidades, ejercicio de Red Team u otra actividad ofensiva será iniciada sin contar con autorización previa, expresa y documentada del propietario legítimo de los sistemas objetivo. Esta autorización definirá el alcance, los sistemas incluidos, el período de tiempo y las restricciones aplicables.

02

Actuación dentro del alcance autorizado

Limitamos estrictamente nuestras actuaciones al ámbito autorizado por el cliente. Cualquier hallazgo o acceso accidental fuera del alcance será notificado inmediatamente al cliente sin ser explotado ni documentado más allá de lo estrictamente necesario para comunicar el hallazgo.

03

Confidencialidad total

Toda la información obtenida durante nuestros servicios —hallazgos, vulnerabilidades, arquitecturas, datos de sistemas— es estrictamente confidencial. Firmamos acuerdo de confidencialidad (NDA) con todos los clientes antes de iniciar cualquier trabajo y mantenemos esa confidencialidad de forma indefinida.

04

No causar daño

Aplicamos el principio de mínimo impacto en todos nuestros tests. Evitamos activamente causar interrupciones de servicio, pérdidas de datos o daños a los sistemas del cliente. Cualquier técnica potencialmente disruptiva se coordinará previamente y se ejecutará en ventanas de mantenimiento acordadas.

05

Divulgación responsable

Cuando detectamos vulnerabilidades en sistemas de terceros no clientes (fuera de un programa de bug bounty formal), seguimos una política de divulgación responsable: notificamos al afectado de forma privada, damos un plazo razonable para la remediación y no publicamos detalles técnicos hasta que el riesgo haya sido mitigado.

06

Integridad y honestidad

Informamos con total honestidad de todos los hallazgos, incluyendo aquellos que puedan ser incómodos o contrarios a los intereses del cliente. No omitimos ni minimizamos hallazgos relevantes. Nuestra reputación se basa en la veracidad e integridad de nuestros informes.

07

Rechazo a actividades ilegales o no éticas

Rechazamos cualquier encargo que implique actividades ilegales, dañinas o no éticas, independientemente de la remuneración ofrecida. Esto incluye el acceso no autorizado a sistemas, el espionaje industrial, la recopilación de datos personales sin base jurídica o cualquier actividad que pueda causar daño a terceros inocentes.

08

Formación continua y responsabilidad profesional

Mantenemos nuestros conocimientos actualizados y somos conscientes de que el uso irresponsable de conocimientos de ciberseguridad ofensiva puede causar daños graves. Asumimos la responsabilidad personal de nuestras acciones y nos negamos a delegar en otros la responsabilidad ética de lo que hacemos.

2. Marco Legal de Referencia

Nuestras actividades se desarrollan en plena conformidad con el ordenamiento jurídico español y europeo, en particular:

  • Código Penal español — en especial los artículos 197 a 201 (delitos contra la intimidad y el secreto de las comunicaciones) y 264 a 264 quáter (daños informáticos).
  • Ley Orgánica 3/2018 (LOPDGDD) y el Reglamento (UE) 2016/679 (RGPD) en materia de protección de datos personales.
  • Ley 34/2002 (LSSI-CE) relativa a los servicios de la sociedad de la información.
  • Directiva NIS2 (UE) 2022/2555 sobre medidas para un elevado nivel común de ciberseguridad en la Unión Europea.
  • Esquema Nacional de Seguridad (ENS) — Real Decreto 311/2022, aplicable a entidades del sector público.
  • Estándares y metodologías internacionales: OWASP, PTES, OSSTMM, NIST SP 800-115.

3. Compromiso con el Cliente

Con cada cliente, Zyrion se compromete a:

  • Definir y documentar el alcance del servicio de forma clara y precisa antes de iniciar cualquier actividad.
  • Obtener autorización formal por escrito (Carta de Autorización / Rules of Engagement) firmada por el representante legal del cliente.
  • Notificar inmediatamente cualquier hallazgo crítico que represente un riesgo inminente para el cliente, sin esperar a la entrega del informe final.
  • Entregar los datos, hallazgos y evidencias de forma segura y cifrada, y eliminar de nuestros sistemas toda copia de los datos del cliente una vez finalizado el encargo.
  • No subcontratar el trabajo a terceros sin el consentimiento previo y expreso del cliente.
  • Ofrecer soporte post-auditoría para la verificación de la remediación de hallazgos críticos.

4. Bug Bounty y Divulgación Responsable

Cuando miembros de Zyrion participan en programas de bug bounty como investigadores independientes, se comprometen a:

  • Actuar exclusivamente dentro del alcance definido por el programa.
  • No acceder, modificar ni eliminar datos de usuarios reales.
  • Reportar los hallazgos a través de los canales oficiales del programa.
  • Respetar los plazos de confidencialidad establecidos antes de cualquier publicación.
  • No explotar los hallazgos más allá de lo necesario para demostrar su existencia.

5. Gestión de Conflictos de Interés

Zyrion declara y se compromete a:

  • Comunicar al cliente cualquier conflicto de interés real o potencial antes de aceptar un encargo.
  • No prestar servicios de auditoría a entidades con las que tengamos relaciones comerciales, familiares o personales que puedan comprometer nuestra objetividad.
  • No aceptar pagos, regalos o ventajas de terceros que puedan influir en la objetividad de nuestros informes.

6. Incumplimiento y Consecuencias

El incumplimiento de este Código de Ética por parte de cualquier miembro del equipo de Zyrion podrá dar lugar a:

  • La comunicación inmediata al cliente afectado.
  • La adopción de medidas correctoras y disciplinarias internas.
  • La denuncia ante las autoridades competentes si los hechos constituyen una infracción penal o administrativa.

Los clientes que detecten un comportamiento contrario a este Código pueden comunicarlo a info@zyrion.es. Todas las comunicaciones serán tratadas con la máxima confidencialidad.

7. Revisión del Código

Este Código de Ética se revisará al menos anualmente y siempre que se produzcan cambios normativos relevantes o circunstancias que así lo aconsejen. La versión vigente estará siempre disponible en zyrion.es/ethics.

Política de PrivacidadAviso Legal← Volver al inicio