Política de Divulgação de Vulnerabilidades (VDP)

Atualizado: 19 de dezembro de 2025 às 10:23

Agradecemos pesquisas de segurança e recebemos relatos de boa-fé. No momento, não estamos aceitando pentests externos neste momento.

Escopo

skyalo.com, *.skyalo.com
Aplicativos móveis da Skyalo (últimas versões públicas)

Fora do escopo: serviços de terceiros, DoS/inundação de tráfego, força bruta, engenharia social, ataques físicos, spam/relatórios DMARC, divulgação de versão sem impacto, clickjacking sem impacto demonstrado, ausência de cabeçalhos de segurança sem exploração.

Regras de Engajamento

Atue de boa-fé e evite violações de privacidade ou degradação do serviço.
Use apenas suas próprias contas/dados.
Não acesse nem modifique dados que não sejam seus. Se você acessar dados não públicos sem querer, pare imediatamente e nos avise.
Sem varredura automatizada que impacte a disponibilidade ou a estabilidade.

Como Reportar

E-mail [email protected] com:

Host/endpoint afetado e ambiente
Passos claros de reprodução
PoC mínimo (requisição/resposta HTTP, capturas de tela)
Avaliação de impacto e severidade estimada (CVSS v3.1 de preferência)
Janela de testes e IPs de origem

Por favor, não inclua segredos (credenciais, tokens, dumps brutos de banco de dados) no e-mail; oculte ou mascare dados sensíveis. Se você precisar de criptografia, entre em contato e organizaremos um método seguro.

Porto Seguro

Se você seguir esta política, não tomaremos medidas legais e consideraremos sua pesquisa autorizada para o propósito limitado de reportar o problema.

Recompensas e Reconhecimento

No momento, nós não oferecemos recompensas em dinheiro. Para problemas confirmados e não duplicados, oferecemos reconhecimento público (Hall da Fama) e, mediante solicitação, uma carta de agradecimento. Relatos duplicados podem ser encerrados sem reconhecimento adicional; o crédito vai para o primeiro relato válido que recebermos.

Prazos e SLAs

Confirmação de recebimento: em até 3 dias úteis
Atualização de triagem: após análise
Divulgação coordenada: por favor, não divulgue detalhes publicamente até que uma correção esteja disponível (até 90 dias)

Meta de correção: Crítica: 7 dias; Alta: 30 dias; Média: 90 dias; Baixa: backlog/conforme agendado.