Emptor Logo Emptor

Política de Divulgação de Vulnerabilidades

Updated on 2025-07-11

Política de Divulgação de Vulnerabilidades

Versão em português atualizada em 23 de junho de 2025 (v1.0)

Introdução

A Emptor está comprometida em construir confiança digital para todos os Usuários dos Serviços da Emptor, e proteger a segurança e a privacidade de todos os dados processados pela Emptor é a base da confiança digital e do estrito cumprimento legal.

A Emptor reconhece a importância da pesquisa de segurança independente e valoriza muito o trabalho de hackers éticos e pesquisadores de segurança para ajudar a aprimorar nossos sistemas. Esta Política de Divulgação de Vulnerabilidades (“Política” ou “VDP”) define as regras de engajamento e deve ser lida em conjunto com as Políticas de Privacidade da Emptor, cujos princípios aqui também se aplicam. A presente Política também determina como se comunicar com a Equipe de Segurança da Emptor para qualquer pessoa que deseje relatar uma vulnerabilidade de segurança.

Escopo de Atividades

Esta Política se aplica apenas aos serviços da Emptor atendidos pelo domínio “emptor.io” e todos os seus subdomínios. Quaisquer serviços não hospedados ou atendidos por este domínio estão excluídos do escopo e não estão autorizados para quaisquer testes.

Além disso, vulnerabilidades encontradas em sistemas hospedados/gerenciados por fornecedores terceirizados estão fora do escopo desta Política e devem ser reportadas diretamente ao fornecedor, de acordo com a sua própria política de divulgação de vulnerabilidades (se aplicável). Caso não esteja claro se um sistema está dentro do escopo, a Emptor deve ser contatada diretamente antes de iniciar a pesquisa ou qualquer outra iniciativa.

Os seguintes tipos de problemas estão fora do escopo, mas ainda podem e são incentivados a serem reportados. No entanto, a Emptor não garante que você receberá uma resposta para relatórios desses tipos:

  • Relatórios de vulnerabilidades não exploráveis.
  • Vulnerabilidades volumétricas, como ataques de Negação de Serviço (DoS/DDoS); restrinja o uso de ferramentas de teste automatizadas a, no máximo, 10 (dez) solicitações por segundo.
  • Cabeçalhos de segurança ausentes (por exemplo, Content-Security-Policy, X-Frame-Options, Feature-Policy, HTTP Strict Transport Security, HTTP Public Key Pinning, X-XSS-Protection, Referrer-Policy)
  • Configurações de segurança relacionadas a e-mails (por exemplo, SPF, DKIM, DMARC)

Responsabilidades

A Emptor solicita que os pesquisadores de segurança forneçam uma prova não destrutiva e não prejudicial da exploração. Também é solicitado que os pesquisadores de segurança não divulguem publicamente os detalhes de tais problemas até que a Emptor tenha tempo suficiente (no mínimo 20 dias úteis, conforme detalhado na seção Comunicação e Relatórios abaixo) para revisar e mitigar os problemas relatados. Além disso, quaisquer dados recuperados durante a pesquisa devem ser excluídos com segurança assim que não forem mais necessários (a vulnerabilidade for corrigida).

As seguintes atividades e métodos não são permitidos, embora a lista a seguir deva ser considerada como não exaustiva:

  • Violar quaisquer leis e regulamentos aplicáveis.
  • Divulgar publicamente vulnerabilidades sem a aprovação da Emptor.
  • Copiar, alterar ou excluir dados ou sistemas.
  • Causar danos, abuso e/ou enviar spam.
  • Colocar malware, backdoors ou outro código não autorizado.
  • Executar ataques DoS ou de exaustão de recursos e causar interrupção ou impedimento de serviços.
  • Usar spam, phishing, vishing, smishing ou outras técnicas de engenharia social.
  • Usar credenciais de usuários por força bruta.
  • Expor, excluir ou modificar dados pessoais.

Comunicação e Relatórios

A equipe de Segurança da Emptor está comprometida em abordar todas as questões de segurança de forma responsável e oportuna. Os seguintes passos devem ser seguidos ao enviar um relatório de vulnerabilidade:

  1. Envie uma descrição detalhada do problema, escrita em inglês, juntamente com as etapas para reproduzi-lo (capturas de tela ou gravações de tela são bem-vindas). Este relatório pode ser enviado usando os seguintes métodos:

    • O Formulário de Divulgação de Vulnerabilidade (preferencialmente) pode ser enviado anonimamente (envios anônimos não receberão mais contato após o envio inicial do relatório).
    • E-mail em texto simples (não criptografado com PGP) para security@www.emptor.io .

  2. Se as informações de contato forem fornecidas, aguarde uma resposta por e-mail, geralmente em até três (3) dias úteis. Se sete (7) dias úteis se passaram desde o envio do relatório sem retorno pela Emptor, solicitamos que nos envie um e-mail de acompanhamento.

  3. Os relatórios de vulnerabilidade podem levar algum tempo para serem triados e corrigidos. Forneça à Emptor um prazo razoável para resolver o problema antes de qualquer divulgação ao público. Se/quando a Emptor responder ao relatório, a Emptor discutirá o prazo necessário para a correção antes da divulgação pública. Independentemente de qualquer resposta ao relatório, garanta um prazo mínimo de 20 dias úteis a partir do momento do envio do relatório antes de qualquer divulgação ao público.

  4. A Emptor enviará notificações sobre quaisquer marcos de progresso o mais breve possível. A Emptor poderá solicitar feedback ou confirmação de que a solução oferecida cobre a vulnerabilidade relatada.

As informações enviadas sob esta política serão usadas apenas para fins defensivos ou preventivos. A Emptor não compartilhará seu nome ou informações de contato sem permissão explícita, a menos que exigido por lei.

Recompensas, Bug Bounty ou Compensação

Atualmente, a Emptor não oferece um programa pago de bug bounty e não oferece nem garante compensação por relato ou identificação de vulnerabilidades de segurança. Quaisquer solicitações de recompensas ou compensações, implícitas ou explícitas, incluindo o uso de marketplaces de vulnerabilidades, serão consideradas uma violação desta Política. Ao enviar um relatório de vulnerabilidade, reconhece-se que não há expectativa de pagamento ou compensação, e que quaisquer reivindicações futuras de pagamento relacionadas ao envio são renunciadas explicitamente pela Emptor.

Em caso de descoberta de uma vulnerabilidade extraordinária, a Emptor poderá, a seu exclusivo critério, oferecer remuneração no valor e na forma que considerar apropriados pelo trabalho realizado na localização de vulnerabilidades e no aprimoramento da segurança de seus produtos e serviços. Tal remuneração não é considerada “compensação” sob esta Política e não deve ser esperada ou solicitada.

Esta Política não permite que pesquisadores de segurança atuem de qualquer maneira inconsistente com todos os requisitos legais ou regulatórios aplicáveis, bem como de qualquer maneira que viole quaisquer leis e regulamentos aplicáveis.

Comece hoje

Trabalhe com quem
você pode confiar

Comece grátis Agendar demo