Política de divulgação responsável

Consideramos a segurança dos nossos sistemas uma prioridade. Mas não importa quanto esforço coloquemos na segurança do sistema, ainda pode haver vulnerabilidades presentes.

Se você descobrir uma vulnerabilidade, gostaríamos de saber sobre ela para que possamos tomar medidas para resolvê-la o mais rápido possível. Gostaríamos de pedir que você nos ajude a proteger melhor nossos clientes e nossos sistemas.

Por favor, faça o seguinte:

  • Envie suas descobertas por e-mail para [email protected]. Criptografe suas descobertas usando InfoEncrypt para evitar que essas informações críticas caiam em mãos erradas;
  • Não tire vantagem da vulnerabilidade ou problema que você descobriu, por exemplo, baixando mais dados do que o necessário para demonstrar a vulnerabilidade ou excluindo ou modificando os dados de outras pessoas;
  • Não revele o problema a outras pessoas até que seja resolvido;
  • Não use ataques à segurança física, engenharia social, negação de serviço distribuído, spam ou aplicativos de terceiros;
  • Forneça informações suficientes para reproduzir o problema, para que possamos resolvê-lo o mais rápido possível. Normalmente, o endereço IP ou a URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir mais explicações.

O que prometemos:

  • Responderemos ao seu relatório dentro de 3 dias úteis com nossa avaliação do relatório e uma data prevista de resolução;
  • Se você seguiu as instruções acima, não tomaremos nenhuma ação legal contra você em relação ao relatório;
  • Trataremos sua denúncia com estrita confidencialidade e não repassaremos seus dados pessoais a terceiros sem sua permissão;
  • Manteremos você informado sobre o andamento da resolução do problema;
  • Nas informações públicas sobre o problema relatado, daremos seu nome como descobridor do problema (a menos que você deseje de outra forma);
  • Como sinal de nossa gratidão por sua ajuda, oferecemos uma recompensa por cada relato de um problema de segurança que ainda não era de nosso conhecimento. O valor da recompensa será determinado com base na gravidade do vazamento e na qualidade do relatório. A recompensa mínima será um vale-presente $50 da Amazon.

Nós nos esforçamos para resolver todos os problemas o mais rápido possível e gostaríamos de desempenhar um papel ativo na publicação final sobre o problema depois que ele for resolvido.