1. Reporte responsável
Se você identificar uma vulnerabilidade de segurança, reporte de forma privada e responsável para: security@safezada.online.
2. Escopo
Esta política cobre:
- Dashboard web e endpoints da API
- Integrações oficiais operadas pelo SafeZada
- Infraestrutura diretamente controlada pelo projeto
3. Fora de escopo
- Ataques de negação de serviço (DoS/DDoS)
- Engenharia social e phishing
- Problemas em serviços de terceiros fora do nosso controle
- Testes automatizados agressivos sem autorização prévia
4. Boas práticas para testes
- Não acesse, altere ou destrua dados de terceiros
- Use apenas contas e ambientes sob seu controle
- Evite impactos de disponibilidade no serviço
5. Informações úteis no reporte
- Descrição clara da vulnerabilidade
- Passos para reprodução
- Impacto esperado e evidências (logs, prints, PoC)
- Sugestão de correção, quando possível
6. Tratamento dos reportes
Faremos triagem do reporte e priorizaremos conforme severidade e risco. Quando possível, enviaremos retorno com status da análise e correção.