Política White Hat

Atualizado 2 weeks ago por Rafael Lima

Última atualização em 15 de março de 2021.

Data

Descrição

Março de 2021

Publicação da Política de White Hat

Se você acredita ter encontrado uma vulnerabilidade de segurança na Boleto Simples, nós o(a) encorajamos a nos avisar imediatamente. Investigaremos todas as denúncias legítimas reportadas e faremos o melhor para consertá-las rapidamente. Antes de fazer sua denúncia, por favor, leia atentamente esta página, incluindo nossa política de divulgação de informações com responsabilidade, regras para recompensas e principalmente o que não deve ser denunciado.

Política de divulgação responsável

Se você, ao informar um problema de segurança no Boleto Simples estiver de acordo com as políticas abaixo informadas, nós não daremos entrada em um processo de ação judicial ou faremos uma investigação policial contra você por ter feito a denúncia. Para isso pedimos que:

  • Você nos dê um tempo razoável para investigar e mitigar o problema relatado antes de tornar pública qualquer informação ou compartilhá-la com outras pessoas;
  • Você não interaja com uma conta individual (isso inclui modificar ou acessar dados da conta de um cliente) sem o consentido do proprietário da conta para tais ações;
  • Você faça um esforço, de boa fé, para evitar violações de privacidade e interrupções para outros clientes, incluindo (mas não limitado) a destruição de dados e interrupção ou degradação dos nossos serviços;
  • Você não explore o problema de segurança que descobriu por nenhum motivo (isto inclui a demonstração de risco adicional, como tentativa de comprometer dados confidenciais da empresa ou sondagem de problemas adicionais);
  • Você não viole quaisquer outras leis ou regulamentações.

Programa de recompensa para bugs

Nós reconhecemos e recompensamos pesquisadores de segurança que nos ajudam a manter nossos clientes seguros ao relatar vulnerabilidades nos nossos serviços.

Gratificações monetárias são inteiramente de critério do Boleto Simples, baseadas em risco, impacto e outros fatores. Para se qualificar a uma gratificação, você precisa atender aos requisitos a seguir:

  • Aderir à Política de divulgação responsável (ver acima);
  • Relatar um erro de segurança: isso é, identificar a vulnerabilidade nos nossos serviços ou na infraestrutura que cria um risco de segurança ou de privacidade (observe que é o Boleto Simples que determina o risco de um problema e quais erros de software não são problemas de segurança);
  • O seu relato deve descrever um problema envolvendo um dos produtos ou serviços listados dentro do “Alcance do programa de recompensa para bugs” (veja abaixo);

Nós excluímos especificamente alguns tipos de problemas de segurança potenciais, eles estão listados em “Denúncias não elegíveis e falsos positivos” (veja abaixo);

Envie a sua denúncia através do nosso e-mail whitehat@boletosimples.com.br, caso necessário utilize o mesmo e-mail para notificar algum tipo de atualização. Não entre em contato com funcionários diretamente ou através de outros canais para falar sobre a denúncia;

Se você, inadvertidamente, causou uma violação ou quebra de privacidade (como acessar dados de conta, configurações de serviço ou outras informações confidenciais) quando estava investigando um problema, não se esqueça de informar isso em sua denúncia.

Por sua vez, vamos seguir estas diretrizes ao avaliar denúncias dentro do nosso programa de recompensa para bugs:

Nós investigamos e respondemos todas as denúncias válidas. Dependendo do volume de denúncias que recebemos, nós daremos prioridade para avaliações com base em risco e outros fatores, portanto pode demorar um pouco para você ser respondido;

No caso de denúncias duplicadas, nós damos a gratificação para a primeira pessoa que enviar um problema (a Boleto Simples determina as denúncias duplicadas e pode não compartilhar detalhes nas outras denúncias). Uma gratificação é paga apenas para uma pessoa;

Reservamo-nos o direito de publicar as denúncias (e as atualizações que as acompanham);

Nós publicamos uma lista de pesquisadores que enviaram denúncias válidas de segurança. Você deve receber uma gratificação para fazer parte dessa lista, mas a sua participação é opcional. Nós reservamos o direito de limitar ou modificar a informação que acompanha o seu nome na lista;

Nós verificamos que todas as gratificações são permitidas pela lei, incluindo (mas não limitado a) sanções comerciais e restrições econômicas brasileiras.

Observe que o uso dos serviços da Boleto Simples, inclusive para fins desse programa, está sujeito aos Termos e Políticas do Boleto Simples. Nós podemos reter comunicações sobre problemas de segurança reportados durante o tempo que considerarmos necessários para o programa e podemos cancelar ou modificar o programa a qualquer momento.

Recompensas adotadas

Nós determinamos as quantias das gratificações tendo como base vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade da denúncia.

A tabela a seguir mostra valores de referência para cada caso de qualificação da denúncia.

Bugs que não comprometem a segurança e privacidade

Não Aplicável

Acesso a dados privados não protegidos pela LGPD

R$ 500 a R$ 1.000

Acesso a dados privados protegidos pela LGPD

R$ 1.000 a R$ 5.000

Acesso a todos os dados do Boleto Simples

R$ 5.000 ou mais.

Você pode doar a gratificação para uma instituição de caridade ou ONG (sujeito à aprovação pelo Boleto Simples), nesse caso, nós dobramos o valor da gratificação.

Para que o pagamento seja efetuado você precisará emitir uma Nota Fiscal de serviço de consultoria em até 10 dias depois da aprovação da Boleto Simples. Sem a Nota Fiscal emitida a tempo não realizaremos o pagamento e nenhuma dívida será adquirida pela Boleto Simples para a sua empresa.

Alcance do programa de recompensa para bugs

Para se qualificar para uma gratificação, denuncie um problema de segurança no Boleto Simples ou em um dos produtos ou aquisições a seguir:

  • Website (https://www.boletosimples.com.br)
  • Aplicação (https://boletosimples.com.br)
  • Hospedagem de Boletos (https://bole.to)
  • Checkout (https://checkout.boletosimples.com.br)

Observe que os serviços que não são propriedade do Boleto Simples não são qualificados para participar do nosso programa de recompensa para bugs.

Apesar de nos preocuparmos sempre com as vulnerabilidades que afetam os serviços que usamos, não podemos garantir ou divulgar as políticas que se aplicam a serviços de outras empresas.

Denúncias não elegíveis e falsos positivos

  • Técnicas de engenharia social ou spam;
  • Ataques de negação de serviço (DDoS);
  • Inserção de conteúdo. Publicar conteúdo no Boleto Simples é um recurso básico e a inserção de conteúdo (também "falsificação de conteúdo" ou "inserção de HTML") é inelegível, a menos que você possa demonstrar claramente um risco considerável;
  • Enviar mensagens para qualquer pessoa na Boleto Simples;
  • Problemas de segurança em sites ou aplicativos de terceiros que fazem integração com a Boleto Simples. Eles não são gerenciados pela Boleto Simples e não se qualificam de acordo com nossas diretrizes de teste de segurança;
  • Executar scripts em domínios de área restrita. O uso de alert(document.domain) pode ajudar a verificar se o contexto é realmente da *.boletosimples.com.br.

Atributos de uma boa denúncia

Detalhe as etapas em sua mensagem explicando como reproduzir o erro. Inclua links nos quais você clicou, páginas que você visitou, URLs, identificações de usuário etc. Imagens e vídeos podem ser úteis se você também incluir explicações por escrito;

Descrições claras de quaisquer contas usadas em sua denúncia e as relações entre elas. Para evitar confusão, não use o mesmo nome em várias contas;

Qualidade é melhor que quantidade. Muitas das denúncias mais bem pagas que recebemos tinham apenas algumas linhas com explicações claras e precisas;

Se você enviar um vídeo, leve em consideração estas dicas:

  • Faça um vídeo curto, mostrando apenas as partes necessárias para demonstrar o erro uma vez (remova ou refaça os erros que podem ocorrer durante a gravação);
  • Grave em uma resolução na qual o texto e as URLs sejam legíveis (pelo menos 480p; normalmente, 1080p não é necessário);
  • Forneça comentários ou instruções em suas mensagens ou na descrição do vídeo em vez de digitar na tela durante o vídeo;
  • Se uma grande quantidade de texto aparecer em seu vídeo, inclua uma cópia em suas mensagens.

Informações e Dúvidas

Se você tem qualquer dúvida sobre esses Termos de Uso ou sobre as práticas adotadas na Boleto Simples, envie um e-mail para whitehat@boletosimples.com.br.

Fonte: baseado nos termos e políticas de white hat do Facebook.com.


Como você avalia esse artigo?


Powered by HelpDocs (opens in a new tab)