Política de Divulgação de Vulnerabilidades de Segurança 

1. Introdução

Na Bomdiu, levamos a segurança a sério e valorizamos os contributos dos investigadores de segurança e da comunidade de segurança em geral para nos ajudar a manter a segurança e a integridade dos nossos sistemas. Esta Política de Divulgação de Vulnerabilidades descreve as diretrizes para reportar vulnerabilidades de segurança a nós.

2. Âmbito

Esta política aplica-se a quaisquer vulnerabilidades de segurança encontradas nos serviços acessíveis ao público da Bomdiu, incluindo o nosso website, APIs e quaisquer outros sistemas detidos e operados pela Bomdiu.

Fora do Âmbito

O seguinte é considerado fora do âmbito desta política:

  • Vulnerabilidades em serviços ou aplicações de terceiros que não estão sob o controlo direto da Bomdiu.
  • Ataques de engenharia social, incluindo phishing dos nossos funcionários ou contratados.
  • Segurança física dos nossos escritórios ou centros de dados.
  • Relatórios de scanners automatizados sem uma prova de conceito que demonstre uma vulnerabilidade específica.
  • Ataques volumétricos de negação de serviço.

3. Diretrizes de Divulgação Responsável

Solicitamos aos investigadores de segurança que cumpram as seguintes diretrizes ao reportar vulnerabilidades:

  • Aja de boa fé e evite violar quaisquer leis ou violar dados.
  • Não realize ataques que possam perturbar os nossos serviços, incluindo negação de serviço (DoS), spam ou engenharia social.
  • Não aceda, modifique ou elimine dados que não lhe pertençam.
  • Forneça um relatório claro e detalhado com passos para reproduzir a vulnerabilidade, incluindo qualquer prova de conceito relevante.
  • Reporte as vulnerabilidades prontamente e dê-nos um tempo razoável para investigar e remediar antes da divulgação pública.

4. Processo de Reporte

Se descobriu uma vulnerabilidade de segurança, por favor reporte-nos através de security@bomdiu.com com os seguintes detalhes:

  • Uma descrição da vulnerabilidade.
  • Passos para reproduzir o problema.
  • Impacto potencial da vulnerabilidade.
  • Quaisquer materiais de apoio (por exemplo, capturas de ecrã, registos, código de prova de conceito).

Pretendemos confirmar a receção do seu relatório no prazo de 2 dias úteis e fornecer uma avaliação inicial no prazo de 5 dias úteis. Mantê-lo-emos informado sobre o nosso progresso à medida que investigamos e remediamos o problema.

5. O Nosso Compromisso

Depois de ter submetido um relatório, comprometemo-nos com o seguinte:

  • Confirmaremos prontamente o seu relatório.
  • Trabalharemos consigo para compreender e validar as suas conclusões.
  • Tomaremos medidas razoáveis para remediar a vulnerabilidade de forma atempada.
  • Manteremos uma linha de comunicação aberta consigo durante todo o processo.

6. Reconhecimento

A Bomdiu não oferece recompensas financeiras ou compensações por divulgações de vulnerabilidades de segurança. No entanto, valorizamos profundamente os contributos dos investigadores de segurança. Podemos oferecer reconhecimento público por vulnerabilidades significativas e divulgadas de forma responsável, com a sua permissão.

7. Considerações Legais

Ao submeter um relatório, concorda em evitar quaisquer atividades ilegais e seguir práticas de divulgação ética. A Bomdiu não tomará medidas legais contra investigadores que ajam de boa fé e cumpram esta política.

8. Conclusão

Agradecemos os esforços dos investigadores de segurança para tornar os serviços da Bomdiu mais seguros. Se tiver alguma dúvida sobre esta política, contacte-nos em security@bomdiu.com.

Obrigado por nos ajudar a manter a segurança dos nossos sistemas.