Política de white hat - Chapéu branco

Se você acredita ter encontrado uma vulnerabilidade de segurança na Petlove, nós o(a) encorajamos a nos avisar imediatamente. Investigaremos todas as denúncias legítimas reportadas e faremos o melhor para consertá-las rapidamente. Antes de fazer sua denúncia, por favor, leia atentamente esta página, incluindo nossa política de divulgação de informações com responsabilidade, regras para recompensas e principalmente o que não deve ser denunciado.

Se você deseja informar ou precisa de ajuda sobre outro tipo de problema, por favor use os meios abaixo:

Política de divulgação responsável

Se você, ao informar um problema de segurança na Petlove estiver de acordo com as políticas abaixo informadas, nós não daremos entrada em um processo de ação judicial ou faremos uma investigação policial contra você por ter feito a denúncia. Para isso pedimos que:

  • Você nos dê um tempo razoável para investigar e mitigar o problema relatado antes de tornar pública qualquer informação ou compartilhá-la com outras pessoas.
  • Você não interaja com uma conta individual (isso inclui modificar ou acessar dados da conta de um cliente) sem o consentido do proprietário da conta para tais ações.
  • Você faça um esforço, de boa fé, para evitar violações de privacidade e interrupções para outros clientes, incluindo (mas não limitado) a destruição de dados e interrupção ou degradação dos nossos serviços.
  • Você não explore o problema de segurança que descobriu por nenhum motivo (isto inclui a demonstração de risco adicional, como tentativa de comprometer dados confidenciais da empresa ou sondagem de problemas adicionais).
  • Você não viole quaisquer outras leis ou regulamentações.

Programa de recompensa para bugs

Nós reconhecemos e recompensamos pesquisadores de segurança que nos ajudam a manter nossos clientes seguros ao relatar vulnerabilidades nos nossos serviços. Gratificações monetárias são inteiramente de critério da Petlove, baseadas em risco, impacto e outros fatores. Para se qualificar a uma gratificação, você precisa atender aos requisitos a seguir:

  • Aderir à Política de divulgação responsável (ver acima).
  • Relate um erro de segurança: isso é, identificar a vulnerabilidade nos nossos serviços ou na infraestrutura que cria um risco de segurança ou de privacidade. (Observe que é a Petlove que determina o risco de um problema e quais erros de software não são problemas de segurança).
  • O seu relato deve descrever um problema envolvendo um dos produtos ou serviços listados dentro do “Alcance do programa de recompensa para bugs” (veja abaixo).
  • Nós excluímos especificamente alguns tipos de problemas de segurança potenciais, eles estão listados em “Denúncias não elegíveis e falsos positivos” (veja abaixo).
  • Envie a sua denúncia através do nosso e-mail reportbug@petlove.com.br (um problema por denúncia), caso necessário utilize o mesmo e-mail para notificar algum tipo de atualização. Não entre em contato com funcionários diretamente ou através de outros canais para falar sobre a denúncia.
  • Se você, inadvertidamente, causou uma violação ou quebra de privacidade (como acessar dados de conta, configurações de serviço ou outras informações confidenciais) quando estava investigando um problema, não se esqueça de informar isso em sua denúncia.

Por sua vez, vamos seguir estas diretrizes ao avaliar denúncias dentro do nosso programa de recompensa para bugs:

  • Nós investigamos e respondemos todas as denúncias válidas. Dependendo do volume de denúncias que recebemos, nós daremos prioridade para avaliações com base em risco e outros fatores, portanto pode demorar um pouco para você ser respondido.
  • Nós determinamos as quantias das gratificações tendo como base vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade da denúncia. Se pagarmos uma gratificação, o valor mínimo é de R$ 500. Observe que problemas de baixo risco podem não se qualificar a uma gratificação.
  • Procuramos pagar quantias similares para problemas similares, mas os valores das gratificações e a qualificação dos problemas podem mudar com o tempo. Recompensas passadas não garantem necessariamente resultados similares no futuro.
  • No caso de denúncias duplicadas, nós damos a gratificação para a primeira pessoa que enviar um problema (a Petlove determina as denúncias duplicadas e pode não compartilhar detalhes nas outras denúncias). Uma gratificação é paga apenas para uma pessoa.
  • Você pode doar a gratificação para uma instituição de caridade ou ONG (sujeito à aprovação pela Petlove), nesse caso, nós dobramos o valor da gratificação.
  • Reservamo-nos o direito de publicar as denúncias (e as atualizações que as acompanham).
  • Nós publicamos uma lista de pesquisadores que enviaram denúncias válidas de segurança. Você deve receber uma gratificação para fazer parte dessa lista, mas a sua participação é opcional. Nós reservamos o direito de limitar ou modificar a informação que acompanha o seu nome na lista.
  • Nós verificamos que todas as gratificações são permitidas pela lei, incluindo (mas não limitado a) sanções comerciais e restrições econômicas brasileiras.

Observe que o uso dos serviços da Petlove, inclusive para fins desse programa, está sujeito aos Termos e Políticas da Petlove. Nós podemos reter comunicações sobre problemas de segurança reportados durante o tempo que considerarmos necessários para o programa e podemos cancelar ou modificar o programa a qualquer momento.

Alcance do programa de recompensa para bugs

Para se qualificar para uma gratificação, denuncie um problema de segurança na Petlove ou em um dos produtos ou aquisições a seguir:

  • Website Petlove
  • Mobile site Petlove
  • Aplicativo Petlove para Android
  • Aplicativo Petlove para iOS

Observe que os serviços que não são propriedade do Petlove (por exemplo, WordPress e Neemu) não são qualificados para participar do nosso programa de recompensa para bugs.

Apesar de nos preocuparmos sempre com as vulnerabilidades que afetam os serviços que usamos, não podemos garantir ou divulgar as políticas que se aplicam a serviços de outras empresas.

Denúncias não elegíveis e falsos positivos

  • Técnicas de engenharia social ou spam.
  • Ataques de negação de serviço.
  • Inserção de conteúdo. Publicar conteúdo no Petlove é um recurso básico e a inserção de conteúdo (também "falsificação de conteúdo" ou "inserção de HTML") é inelegível, a menos que você possa demonstrar claramente um risco considerável.
  • Enviar mensagens para qualquer pessoa na Petlove.
  • Problemas de segurança em sites ou aplicativos de terceiros que fazem integração com a Petlove. Eles não são gerenciados pela Petlove e não se qualificam de acordo com nossas diretrizes de teste de segurança.
  • Executar scripts em domínios de área restrita. O uso de alert(document.domain) pode ajudar a verificar se o contexto é realmente da *.Petlove.com.br.

Atributos de uma boa denúncia

  • Detalhe as etapas em sua mensagem explicando como reproduzir o erro. Inclua links nos quais você clicou, páginas que você visitou, URLs, identificações de usuário etc. Imagens e vídeos podem ser úteis se você também incluir explicações por escrito.
  • Descrições claras de quaisquer contas usadas em sua denúncia e as relações entre elas. Para evitar confusão, não use o mesmo nome em várias contas.
  • Qualidade é melhor que quantidade. Muitas das denúncias mais bem pagas que recebemos tinham apenas algumas linhas com explicações claras e precisas.
  • Se você enviar um vídeo, leve em consideração estas dicas:
    • Faça um vídeo curto, mostrando apenas as partes necessárias para demonstrar o erro uma vez (remova ou refaça os erros que podem ocorrer durante a gravação).
    • Grave em uma resolução na qual o texto e as URLs sejam legíveis (pelo menos 480p; normalmente, 1080p não é necessário).
    • Forneça comentários ou instruções em suas mensagens ou na descrição do vídeo em vez de digitar na tela durante o vídeo.
    • Se uma grande quantidade de texto aparecer em seu vídeo, inclua uma cópia em suas mensagens.

Exemplos específicos do alcance do programa

Se você não tem certeza se um serviço é elegível para uma gratificação ou não, fique à vontade para entrar em contato conosco. Abaixo, temos alguns exemplos específicos de aplicativos e sites elegíveis ou não para ajudar a sua pesquisa.

  • Elegível Sites:
    • Sites: Petlove.com (desktop e mobile)
    • Aplicativos: iOS e Android
  • Não elegível
    • Sites: dicas.Petlove.com.br

Fonte: baseado nos termos e políticas de white hat do Facebook.com.