Política de divulgação responsável

Levamos a segurança muito a sério e valorizamos a ajuda da comunidade para melhorar a proteção dos nossos sistemas.

O nosso compromisso

A segurança dos nossos sistemas e a proteção dos dados dos nossos clientes são prioridades absolutas. Incentivamos os investigadores de segurança a reportarem de forma responsável qualquer vulnerabilidade que possam descobrir.

Âmbito

Esta política abrange o nosso website, as nossas aplicações, serviços online e APIs acessíveis publicamente.

O que lhe pedimos

Se descobrir uma vulnerabilidade, pedimos que:

• Nos contacte imediatamente através dos contactos indicados no nosso ficheiro security.txt
• Não divulgue a vulnerabilidade publicamente antes de termos tido oportunidade de a corrigir
• Não explore a vulnerabilidade para além do que é necessário para a demonstrar
• Não aceda, modifique ou elimine dados de outros utilizadores
• Não perturbe os nossos serviços ou a nossa infraestrutura

O nosso compromisso consigo

• Confirmaremos a receção do seu reporte no prazo de 3 dias úteis
• Mantê-lo-emos informado sobre o progresso da correção
• Não tomaremos qualquer ação legal contra investigadores que ajam de boa-fé e cumpram esta política
• Atribuiremos o devido crédito (se assim o desejar) na comunicação sobre a correção

Vulnerabilidades fora do âmbito

Os seguintes pontos não estão abrangidos por esta política:

• Ataques de negação de serviço (DoS/DDoS)
• Engenharia social ou phishing dirigidos aos nossos colaboradores
• Ataques físicos às nossas instalações ou equipamentos
• Vulnerabilidades em serviços de terceiros que utilizamos

Contacto

Os contactos para reportar uma vulnerabilidade estão disponíveis no nosso ficheiro security.txt.

Por favor, forneça o máximo de detalhes possível: descrição da vulnerabilidade, passos para a reproduzir, impacto potencial e sugestões de correção.