English Português

Política de Divulgação de Vulnerabilidades

Introdução

A Imagix está comprometida com a segurança das informações de seus usuários e clientes. Esta política fornece diretrizes claras para pesquisadores de segurança sobre como conduzir atividades de descoberta de vulnerabilidades e como reportá-las.

Autorização

Se você fizer um esforço de boa fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa autorizada. Trabalharemos com você para entender e resolver o problema rapidamente, e a Imagix não recomendará ou tomará ações legais relacionadas à sua pesquisa. Caso uma ação legal seja iniciada por terceiros contra você por atividades conduzidas de acordo com esta política, tornaremos esta autorização conhecida.

Sistemas e Tipos de Pesquisa Cobertos

Esta política cobre todos os sistemas e serviços gerenciados pela Imagix que são acessíveis via internet. Qualquer domínio ou propriedade não explicitamente listado como dentro do escopo está fora do escopo e não está autorizado para testes.

Reportando uma Vulnerabilidade

Para reportar uma vulnerabilidade, envie um e-mail para security@imagix.tech com as seguintes informações:

  • Uma descrição detalhada da vulnerabilidade.
  • Passos para reproduzir a vulnerabilidade (incluindo scripts de prova de conceito ou capturas de tela, se aplicável).
  • O impacto potencial da exploração da vulnerabilidade.

O que Esperar de Nós

  • Em até três dias úteis, a Imagix confirmará o recebimento do seu relatório.
  • Confirmaremos a existência da vulnerabilidade e seremos transparentes sobre os passos que estamos tomando para resolver o problema, incluindo quaisquer desafios que possam atrasar a resolução.
  • Manteremos um diálogo aberto para discutir problemas e fornecer atualizações periódicas sobre o status da correção.

Diretrizes

  • Não extraia dados; use uma prova de conceito para demonstrar a vulnerabilidade.
  • Não explore uma vulnerabilidade para desabilitar controles de segurança adicionais.
  • Não realize engenharia social ou use scanners automatizados.
  • Respeite a privacidade dos dados e nos notifique imediatamente se acessar dados de terceiros.

Recompensas e Reconhecimento

A Imagix reconhece as contribuições dos pesquisadores de segurança através de:

  • Reconhecimento público em nosso Hall da Fama
  • Cartas de referência sob solicitação
  • Reconhecimento direto das contribuições

Para descobertas excepcionais (como vulnerabilidades críticas), podemos oferecer recompensas monetárias de acordo com nossa tabela de recompensas, sujeitas a:

  • Severidade e impacto (pontuação CVSS)
  • Qualidade do relatório
  • Complexidade da descoberta
  • Orçamento disponível

Faixa atual de recompensa: R$100-1000 (USD 20-200)

Nota: Como uma startup em crescimento, a maioria das validações receberá reconhecimento público em vez de compensação monetária. Valorizamos suas contribuições e nos comprometemos a reconhecê-las de forma transparente.

Escopo

No escopo:

  • *.imagix.tech
  • Aplicativos móveis Imagix
  • Endpoints da API Imagix

Proteção Legal

A Imagix não tomará ações legais contra pesquisadores de segurança que:

  • Façam esforços de boa fé para cumprir esta política
  • Não comprometam a privacidade do usuário
  • Não interrompam nossos serviços
  • Reportem vulnerabilidades prontamente e de forma responsável

Contato

Para questões sobre esta política ou para reportar uma vulnerabilidade, entre em contato: security@imagix.tech