Bomdiu Logo

Política de Divulgação de Vulnerabilidades de Segurança

1. Introdução

Na Bomdiu, levamos a segurança a sério e valorizamos as contribuições dos investigadores de segurança e da comunidade de segurança em geral para nos ajudar a manter a segurança e a integridade dos nossos sistemas. Esta Política de Divulgação de Vulnerabilidades descreve as diretrizes para nos relatar vulnerabilidades de segurança.

2. Âmbito

Esta política aplica-se a quaisquer vulnerabilidades de segurança encontradas nos serviços publicamente acessíveis da Bomdiu, incluindo o nosso website, APIs e quaisquer outros sistemas detidos e operados pela Bomdiu.

Fora do Âmbito

Os seguintes pontos estão fora do âmbito desta política:

  • Vulnerabilidades em serviços ou aplicações de terceiros que não estão sob o controlo direto da Bomdiu.
  • Ataques de engenharia social, incluindo phishing aos nossos funcionários ou contratados.
  • Segurança física dos nossos escritórios ou centros de dados.
  • Relatórios de scanners automáticos sem uma prova de conceito que demonstre uma vulnerabilidade específica.
  • Ataques volumétricos de negação de serviço.

3. Diretrizes de Divulgação Responsável

Pedimos que os investigadores de segurança adiram às seguintes diretrizes ao relatar vulnerabilidades:

  • Agir de boa fé e evitar violar quaisquer leis ou infringir quaisquer dados.
  • Não realizar ataques que possam perturbar os nossos serviços, incluindo negação de serviço (DoS), spam ou engenharia social.
  • Não aceder, modificar ou apagar dados que não lhe pertencem.
  • Fornecer um relatório claro e detalhado com os passos para reproduzir a vulnerabilidade, incluindo qualquer prova de conceito relevante.
  • Relatar as vulnerabilidades prontamente e permitir-nos um tempo razoável para investigar e remediar antes da divulgação pública.

4. Processo de Relato

Se descobriu uma vulnerabilidade de segurança, por favor, reporte-a para [email protected] com os seguintes detalhes:

  • Uma descrição da vulnerabilidade.
  • Passos para reproduzir o problema.
  • Impacto potencial da vulnerabilidade.
  • Quaisquer materiais de apoio (ex: capturas de ecrã, registos, código de prova de conceito).

Para informações sensíveis, encorajamo-lo a encriptar o seu relatório. A nossa chave PGP pode ser encontrada aqui: https://keys.openpgp.org/vks/v1/by-fingerprint/17579243F23AAFD69EDEB5258BE31E6A811D063D

O nosso objetivo é acusar a receção do seu relatório no prazo de 2 dias úteis e fornecer uma avaliação inicial no prazo de 5 dias úteis. Manter-lhe-emos informado do nosso progresso à medida que investigamos e remediamos o problema.

5. O Nosso Compromisso

Depois de submeter um relatório, comprometemo-nos com o seguinte:

  • Acusaremos prontamente a receção do seu relatório.
  • Trabalharemos consigo para compreender e validar as suas descobertas.
  • Tomaremos medidas razoáveis para remediar a vulnerabilidade de forma atempada.
  • Manteremos uma linha de comunicação aberta consigo durante todo o processo.

6. Reconhecimento

A Bomdiu não oferece recompensas financeiras ou compensação por divulgações de vulnerabilidades de segurança. No entanto, valorizamos profundamente as contribuições dos investigadores de segurança. Podemos oferecer reconhecimento público para vulnerabilidades significativas e divulgadas de forma responsável, com a sua permissão.

7. Considerações Legais

Ao submeter um relatório, concorda em evitar quaisquer atividades ilegais e seguir práticas de divulgação éticas. A Bomdiu não tomará medidas legais contra investigadores que ajam de boa fé e cumpram esta política.

8. Conclusão

Agradecemos os esforços dos investigadores de segurança em tornar os serviços da Bomdiu mais seguros. Se tiver alguma questão sobre esta política, por favor contacte-nos em [email protected].

Obrigado por nos ajudar a manter a segurança dos nossos sistemas.