Política de Divulgação de Vulnerabilidades (VDP)

Valorizamos a investigação em segurança e acolhemos reportes de boa-fé. Neste momento, não estamos a aceitar testes de intrusão externos neste momento.

Âmbito

• skyalo.com, *.skyalo.com

• Aplicações móveis da Skyalo (últimas versões públicas)

Fora do âmbito: serviços de terceiros, DoS/inundação de tráfego, força bruta, engenharia social, ataques físicos, spam/relatórios DMARC, divulgação de versão sem impacto, clickjacking sem impacto demonstrado, cabeçalhos de segurança em falta sem exploração.

Regras de Participação

• Atue de boa-fé e evite violações de privacidade ou degradação do serviço.

• Utilize apenas as suas próprias contas/dados.

• Não aceda nem modifique dados que não lhe pertençam. Se aceder inadvertidamente a dados não públicos, pare de imediato e avise-nos.

• Não é permitido scanning automatizado que afete a disponibilidade ou a estabilidade.

Como Reportar

E-mail [email protected] com:

• Host/endpoint afetado e ambiente

• Passos claros de reprodução

• PoC mínimo (pedido/resposta HTTP, capturas de ecrã)

• Avaliação do impacto e severidade estimada (CVSS v3.1 preferível)

• Janela temporal de testes e IPs de origem

Por favor, não inclua segredos (credenciais, tokens, dumps brutos de base de dados) no e-mail; oculte ou mascare dados sensíveis. Se necessitar de encriptação, contacte-nos e iremos organizar um método seguro.

Porto Seguro

Se seguir esta política, não iremos avançar com ação legal e consideraremos a sua investigação autorizada para o propósito limitado de reportar o problema.

Recompensas e Reconhecimento

Atualmente, nós não oferecemos recompensas monetárias. Para problemas confirmados e não duplicados, oferecemos reconhecimento público (Hall of Fame) e, mediante pedido, uma carta de agradecimento. Reportes duplicados podem ser encerrados sem reconhecimento adicional; o crédito é atribuído ao primeiro reporte válido que recebermos.

Prazos e SLAs

• Confirmação de receção: em até 3 dias úteis

• Atualização do estado de triagem: após revisão

• Divulgação coordenada: por favor, retenha detalhes públicos até existir uma correção (até 90 dias)

Remediação prevista: Crítica: 7 dias; Alta: 30 dias; Média: 90 dias; Baixa: backlog/conforme agendado.