Pular para conteúdo
Neurawlink

Segurança

Política de Divulgação Responsável

A Neurawlink valoriza e reconhece pesquisadores e profissionais que investem tempo em identificar problemas de segurança em nossos serviços. Este documento define como reportar e o que esperar de nós.

Escopo

Cobertos pelo programa:

  • https://neurawlink.com e subdomínios (exceto onde indicado)
  • API pública oficial Neurawlink (futuro)
  • Aplicação SaaS Neurawlink (quando lançada)

Fora do escopo:

  • Sites de terceiros (mesmo que linkados)
  • Vulnerabilidades em dependências sem PoC reproduzível no nosso ambiente
  • Relatórios automatizados sem análise humana (scanners)
  • Engenharia social contra funcionários
  • Ataques físicos a escritórios
  • DDoS / DoS
  • Spam ou flood de formulários

Como reportar

Email: [email protected]

PGP key: /.well-known/pgp-key.asc (recomendado para vulnerabilidades sensíveis)

security.txt: /.well-known/security.txt (RFC 9116)

O que incluir no relatório

  1. Descrição clara do problema
  2. Passos para reprodução (PoC)
  3. Impacto potencial (confidencialidade, integridade, disponibilidade)
  4. Versão / commit / endpoint afetado
  5. Sugestão de mitigação (opcional)
  6. Suas credenciais de pesquisador (opcional, para reconhecimento público)

O que esperar de nós

  • Confirmação de recebimento: em até 72 horas úteis
  • Avaliação inicial: em até 7 dias corridos
  • Atualizações periódicas: a cada 14 dias enquanto houver investigação ativa
  • Notificação de resolução: imediata após o fix em produção
  • Reconhecimento público (com seu consentimento) em nossa página de Hall of Fame

Regras de conduta

Ao participar, você concorda em:

  • Não acessar, modificar ou destruir dados de terceiros durante a pesquisa
  • Não usar a vulnerabilidade para ganho próprio ou de terceiros (extorsão, monetização ilícita)
  • Aguardar nossa resposta antes de divulgação pública (geralmente 90 dias após o fix)
  • Manter confidencialidade sobre o detalhe técnico do problema durante o período de remediação
  • Operar dentro da lei — não há autorização para atividades ilegais

Safe Harbor

Pesquisas de boa-fé conduzidas dentro deste programa não serão objeto de ações judiciais contra você por parte da Neurawlink, conforme princípios da CFAA e equivalentes brasileiros (Lei 12.737/2012). Esta proteção não se aplica a violações das regras de conduta acima.

Bug Bounty

Atualmente não temos programa monetário. Reconhecimento público (Hall of Fame), agradecimento por escrito e convite para continuar pesquisando em escopo expandido são as recompensas disponíveis no MVP.

Pretendemos avaliar adesão a programas estruturados (HackerOne, BugCrowd) após 12 meses de operação.

Relatórios em massa / scanners

Não aceitamos relatórios automatizados (output bruto de Burp, Nessus, OpenVAS, Nikto) sem análise humana. Eles serão fechados sem resposta detalhada.

Hall of Fame

Lista pública de pesquisadores que reportaram problemas válidos será mantida em /seguranca/hall-of-fame (com consentimento do pesquisador).