Pular para o conteúdo

Divulgação Responsável

Política de Divulgação Responsável

Seção intitulada “Política de Divulgação Responsável”

No Xahau, acreditamos que a segurança dos nossos sistemas é extremamente importante.

Apesar do nosso cuidado com a segurança dos nossos sistemas durante o desenvolvimento e a manutenção dos produtos, sempre há a possibilidade de alguém encontrar algo que precisamos melhorar/atualizar/alterar/corrigir/…

Agradecemos que nos notifique o mais rápido possível caso tenha encontrado um ponto fraco em um dos nossos sistemas, para que possamos tomar medidas imediatas para proteger nossos clientes e seus dados.

Como Reportar

Seção intitulada “Como Reportar”

Se você acredita ter encontrado um bug relacionado à segurança, notifique-nos o mais rápido possível enviando uma descrição de alto nível da sua descoberta e informações de contato (para que alguém possa retornar) por e-mail para [email protected].

Se o problema estiver relacionado ao xahaud, consulte a política de segurança dele: https://github.com/Xahau/xahaud?tab=security-ov-file

Regras

Seção intitulada “Regras”

Esta política de divulgação responsável não é um convite aberto para escanear ativamente nossa rede e aplicações em busca de vulnerabilidades. Nosso monitoramento contínuo provavelmente detectará sua varredura, e estas serão investigadas.

Pedimos que você:

Seção intitulada “Pedimos que você:”
  • Não compartilhe informações sobre o problema de segurança com outras pessoas até que o problema seja resolvido, e que exclua imediatamente quaisquer dados confidenciais obtidos
  • Não abuse ainda mais do problema, por exemplo, baixando mais dados do que o necessário para demonstrar a vulnerabilidade, ou visualizando, excluindo ou alterando dados de terceiros
  • Forneça informações detalhadas para que possamos reproduzir, validar e resolver o problema o mais rápido possível. Inclua seus dados de teste, registros de data e hora e URL(s) do(s) sistema(s) envolvido(s)
  • Deixe seus dados de contato (endereço de e-mail e/ou número de telefone) para que possamos entrar em contato com você sobre o andamento da solução. Também aceitamos relatórios anônimos.
  • Não utilize ataques à segurança física, engenharia social, negação de serviço distribuída, spam ou aplicações de terceiros

Procedimento(s) de Divulgação Responsável

Seção intitulada “Procedimento(s) de Divulgação Responsável”

Ao reportar um problema de segurança, agiremos da seguinte forma:

Seção intitulada “Ao reportar um problema de segurança, agiremos da seguinte forma:”
  • Você receberá uma confirmação de recebimento dentro de 4 dias úteis após o envio do relatório
  • Você receberá uma resposta com a avaliação do problema de segurança e uma data prevista de resolução dentro de 4 dias úteis após o envio da confirmação de recebimento
  • Não tomaremos medidas legais contra você em relação ao relatório se você tiver cumprido as condições estabelecidas acima
  • Trataremos seu relatório de forma confidencial e não compartilharemos seus dados com terceiros sem sua permissão, a menos que isso seja necessário para cumprir uma obrigação legal

Este esquema de divulgação responsável não se destina a:

Seção intitulada “Este esquema de divulgação responsável não se destina a:”
  • Reclamações
  • Relatórios de indisponibilidade do site
  • Relatórios de phishing
  • Relatórios de fraude

Para essas reclamações ou relatórios, publique uma descrição de alto nível do seu problema e informações de contato (para que alguém possa retornar) no Github: https://github.com/Xahau/xahaud/issues

Programa de recompensa por bugs

Seção intitulada “Programa de recompensa por bugs”

O Xahau incentiva o reporte de problemas de segurança ou vulnerabilidades. Podemos oferecer uma recompensa adequada pela divulgação confidencial de qualquer problema de design ou implementação que possa ser usado para comprometer a confidencialidade ou integridade dos dados dos nossos usuários e que ainda não fosse do nosso conhecimento. Nós decidimos se o relatório é elegível e o valor da recompensa.

Exclusões

Seção intitulada “Exclusões”

Os seguintes tipos de problemas de segurança são excluídos

Seção intitulada “Os seguintes tipos de problemas de segurança são excluídos”
  • Ataques (D)DOS
  • Mensagens de erro ou páginas de erro sem dados sensíveis
  • Testes e dados de amostra disponíveis publicamente em nossos repositórios no Github
  • Problemas comuns como avisos de cabeçalho de navegador ou configuração de DNS, identificados por varreduras de vulnerabilidade
  • Relatórios de varredura de vulnerabilidade para os softwares que utilizamos publicamente
  • Problemas de segurança relacionados a sistemas operacionais, navegadores ou plugins desatualizados
  • Relatórios de problemas de segurança sobre os quais já fomos notificados anteriormente

Atenção: Relatórios que não contenham nenhuma prova (como capturas de tela ou outros dados), informações detalhadas ou detalhes sobre como reproduzir qualquer resultado inesperado serão investigados, mas não serão elegíveis para nenhuma recompensa.

Esta política é baseada nas Diretrizes de Divulgação Responsável do Centro Nacional de Segurança Cibernética e em um exemplo de Floor Terra.