1. Introdução
A segurança é fundamental para a forma como operamos. Damos as boas-vindas a relatórios de investigadores de segurança, hackers éticos e da comunidade em geral que nos ajudem a identificar e resolver potenciais vulnerabilidades. Esta política descreve como comunicar problemas de segurança de forma responsável e o que pode esperar de nós.
2. Âmbito
Esta política aplica-se a vulnerabilidades descobertas na aplicação web da unofax em unofax.com e nas respetivas APIs associadas. O seguinte está fora do âmbito:
• Serviços de terceiros (por exemplo, processamento de pagamentos Square, Google Analytics)
• Engenharia social ou ataques de phishing contra colaboradores ou utilizadores da unofax
• Ataques de negação de serviço (DoS/DDoS)
• Problemas de segurança física
• Vulnerabilidades em software ou infraestrutura não pertencentes à unofax
3. Como Comunicar
Se descobrir uma potencial vulnerabilidade de segurança, comunique-a enviando um e-mail para support@unofax.com. Inclua o máximo de detalhes possível:
• Uma descrição da vulnerabilidade e do seu potencial impacto
• Passos para reproduzir o problema
• Quaisquer provas de apoio (capturas de ecrã, código de prova de conceito, registos)
• O seu nome e informações de contacto (opcional, mas útil para o seguimento)
4. Os Nossos Compromissos
Quando comunica uma vulnerabilidade de boa-fé e em conformidade com esta política, comprometemo-nos a:
• Confirmar a receção do seu relatório no prazo de 3 dias úteis
• Fornecer uma avaliação inicial no prazo de 10 dias úteis
• Mantê-lo informado sobre o nosso progresso na resolução do problema
• Não intentar ações legais contra si pelas suas atividades de investigação realizadas em conformidade com esta política
• Dar-lhe crédito (se assim o desejar) quando abordarmos publicamente a vulnerabilidade
5. Diretrizes para Investigadores
Para garantir que a sua investigação é conduzida de forma responsável, respeite as seguintes diretrizes:
• Não aceda, modifique ou elimine dados pertencentes a outros utilizadores
• Não perturbe nem degrade a disponibilidade dos serviços da unofax
• Não divulgue publicamente a vulnerabilidade antes de termos tido uma oportunidade razoável de a resolver
• Aja de boa-fé e evite quaisquer ações que possam prejudicar a unofax ou os seus utilizadores
• Teste apenas contas que possua ou para as quais tenha permissão explícita para testar
6. Porto Seguro
Consideramos a investigação de segurança realizada em conformidade com esta política como autorizada e não intentaremos ações legais contra investigadores que cumpram estas diretrizes. Se forem intentadas ações legais por um terceiro contra si por atividades realizadas em conformidade com esta política, tomaremos medidas razoáveis para tornar público que as suas ações foram autorizadas.
7. Exclusões
Os seguintes tipos de descobertas geralmente não são elegíveis para consideração ao abrigo desta política:
• Cabeçalhos de segurança em falta que não conduzam a uma exploração demonstrável
• Clickjacking em páginas sem ações sensíveis
• Self-XSS (cross-site scripting que afeta apenas a própria sessão do utilizador)
• Ausência de limitação de taxa sem demonstração de potencial de abuso
• Vulnerabilidades que exigem navegadores ou plug-ins desatualizados
• Problemas descobertos através de análise automatizada sem verificação manual
8. Contacto
Para todos os relatórios e pedidos de informação, envie um e-mail para support@unofax.com.