Política de Divulgação de Vulnerabilidade

Denunciar Problemas

Levamos os incidentes de segurança muito a sério. Se você encontrou uma vulnerabilidade ou qualquer potencial violação de segurança, por favor, nos avise. Envie um e-mail para [email protected] com o máximo de informações possível. Alguém da nossa equipe entrará em contato o mais breve possível.

Programa de Recompensas por Detecção de Bugs da Selzy

Damos as boas-vindas a pesquisadores de segurança que pratiquem a divulgação responsável e cumpram nossas políticas. O programa de recompensas por detecção de bugs da Selzy reconhece e recompensa os esforços desses pesquisadores. Para ser elegível a uma recompensa dentro do nosso programa de recompensas por detecção de bugs, você deve cumprir os termos descritos abaixo.

Regras Básicas

Além de cumprir nossos Termos de Uso e quaisquer outras condições aplicáveis, você também deve seguir estas regras básicas ao participar do nosso programa de recompensas por detecção de bugs:

• Não acesse (ou tente acessar) a conta de qualquer usuário ou dados que não sejam públicos.
• Não prejudique outros usuários (ou o acesso deles ou o uso de nossos serviços).
• Não execute nenhum ataque que possa prejudicar a confiabilidade ou integridade de nossos serviços ou dados. Por exemplo, ataques de DDoS/spam são estritamente proibidos.
• Não divulgue publicamente uma vulnerabilidade antes de termos resolvido o problema.
• Não execute (ou tente executar) ataques não técnicos, incluindo spam, engenharia social, phishing ou ataques físicos contra nossos funcionários, usuários ou nossa infraestrutura.

Quais tipos de relatórios não se qualificam?

A seguir, apresentamos uma lista não exaustiva de relatórios que não se qualificam para uma recompensa dentro do nosso programa de recompensas por detecção de bugs:

• Problemas relacionados a software ou protocolos que não estão sob nosso controle, como domínios ou aplicativos que se assemelham à Selzy ou que usam uma de nossas APIs, mas não são gerenciados pela Selzy.
• Divulgação de informações públicas ou informações que, em nossa opinião, não representam um risco significativo.
• Divulgação de identificadores e chaves de clientes destinados a ajudar contribuidores de código aberto.
• Divulgação de credenciais por outras partes não afiliadas à Selzy.
• Bugs, como XSS, que afetam apenas versões antigas de navegadores/plugins, bugs que exigem atividades ou interações excessivamente improváveis de usuários , ou ataques de temporização que comprovem, por exemplo, a existência de um usuário.
• Cookies compartilhados entre diferentes domínios *.Selzy.com.
• Bugs que já foram detectados por nós (ou seja, por ordem de chegada) ou bugs dos quais já estamos cientes.
• Scripting ou outras formas de automação e força bruta de funcionalidades pretendidas (o que é estritamente proibido).

Note que, embora apreciemos informações sobre não seguir as melhores práticas, tais problemas não são considerados vulnerabilidades, a menos que afetem a confidencialidade, integridade e/ou disponibilidade dos dados. Da mesma forma, esses problemas não resultarão em recompensas monetárias.

Recompensas

Podemos conceder recompensas monetárias por problemas detectados que decidirmos corrigir, sendo as recompensas mais elevadas para problemas de segurança distintamente criativos ou graves. Problemas que determinarmos serem insignificantes ou representarem um risco aceitável não serão elegíveis para recompensa. O valor da recompensa será baseado na gravidade do problema e variará de $25 a $500 (em USD).
Por favor, observe que somente relatórios enviados para [email protected] serão elegíveis para recompensas dentro do nosso programa de recompensas por detecção de bugs.

Verificando o Status dos Relatórios ou Recompensas

Somos uma equipe de desenvolvimento pequena e muito ocupada, e recebemos muitos e-mails. Por favor, não nos envie e-mails múltiplos ou repetitivos fazendo as mesmas perguntas sobre relatórios enviados ou o status de possíveis pagamentos de recompensas. Isso não agilizará o processo e pode resultar em uma resposta mais lenta devido à carga extra em nossa caixa de entrada. Agradecemos sua paciência.
Além disso, esteja ciente de que o envio repetido de problemas que não se qualificam pode resultar em você não receber resposta alguma.

Alguns Termos Legais

Nosso programa de recompensas por detecção de bugs não é uma competição. É um programa experimental e facultativo de recompensas. Podemos modificar os termos deste programa ou encerrá-lo a qualquer momento, sem aviso prévio. Todas as decisões sobre a quantidade e o tipo de recompensas que podem ser concedidas, o método de pagamento (para recompensas monetárias) e se algum problema relatado constitui um risco significativo ou é elegível para recompensa, serão determinadas inteiramente a critério da Selzy em cada caso. Normalmente, emitimos recompensas monetárias através do PayPal e exigimos seu nome completo e as informações de contato necessárias. Você é responsável por quaisquer implicações fiscais de qualquer recompensa que receber e deve cumprir todas as leis fiscais aplicáveis a quaisquer recompensas que possamos conceder a você. Não podemos conceder recompensas a indivíduos que estejam em listas de sanções ou que estejam localizados em países (por exemplo, Rússia, Cuba, Irã, Coreia do Norte, Sudão ou Síria) que estão em listas de sanções. Você deve cumprir todas as leis, normas e regulamentos locais, estaduais, nacionais e internacionais aplicáveis em relação à sua participação neste programa. Sua participação neste programa não deve interromper nem comprometer quaisquer dados que não lhe pertençam.