Política de Divulgação de Vulnerabilidades

Como reportar bugs de segurança no QuemFaz e o que esperar do nosso processo de resposta.

Versão: 1.0.0

1. Introdução

Se você encontrou uma vulnerabilidade de segurança no QuemFaz — no aplicativo, na API, no painel administrativo ou neste site — agradecemos que reporte de forma privada antes de qualquer divulgação pública. Esta página descreve como reportar, o que você pode esperar de nós e o que esperamos de você.

Adotamos esta política em referência aos padrões da RFC 9116 (formato security.txt) e às boas práticas de divulgação coordenada estabelecidas pela indústria.

2. Como reportar

Envie um email para seguranca@quemfaz.com.br contendo:

• Passos para reproduzir o problema, com clareza suficiente para que possamos repetir o cenário.
• Impacto observado ou potencial — o que um atacante consegue fazer ao explorar essa falha?
• Prova de conceito (PoC), se aplicável: capturas de tela, requests HTTP, código, vídeo curto. Quanto mais concreto, mais rápido o triage.
• Seu contato para atualizações. Pode ser um endereço de email real, um alias ou um pseudônimo — apenas precisamos de uma forma de te responder.

Se o relato contiver dados sensíveis (segredos vazados, dumps parciais, credenciais), pode enviar pelo mesmo endereço. Não publicamos seu relato sem o seu consentimento.

3. O que você pode esperar de nós

Atuando de boa fé, comprometemo-nos a:

• Confirmar o recebimento em até 72 horas úteis após o envio do relato.
• Fornecer uma atualização de status em até 7 dias corridos a partir do primeiro contato, mesmo que seja apenas para informar que ainda estamos investigando.
• Trabalhar uma resolução com prazo proporcional à severidade: bugs críticos são endereçados em dias; severidade média em semanas; baixa pode levar mais tempo dependendo de prioridade operacional.
• Coordenar a divulgação pública com você. O padrão é 90 dias do relato inicial até a divulgação pública, mas podemos antecipar (caso o fix já esteja em produção) ou estender (caso a complexidade do fix justifique).
• Agir de boa fé com pesquisadores que sigam esta política. Não temos intenção de tomar ações legais contra reportes feitos de boa fé que respeitem o escopo, as expectativas e a divulgação coordenada descritos aqui.
• Reconhecer publicamente sua contribuição, se você desejar — em um Hall of Fame que manteremos ou em um agradecimento direto. Você decide se quer ser identificado, com que nome, e se quer ser linkado a um perfil público.

4. O que esperamos de você

Para que possamos manter o ambiente seguro tanto para nossos usuários quanto para você, esperamos que:

• Não derrube ou degrade o serviço. Sem testes de DoS, sem ataques volumétricos, sem rotinas de stress que afetem outros usuários.
• Não acesse, modifique ou exfiltre dados de outras pessoas. Se você esbarrar incidentalmente em dados de outros usuários durante a pesquisa, pare imediatamente e nos avise pelo mesmo canal.
• Não publique antes do fix. Respeite a janela de divulgação coordenada (90 dias por padrão, ou prazo combinado).
• Use uma conta de teste. Se quiser, podemos te ajudar a criar uma conta dedicada — apenas peça por email. Não use contas de usuários reais sem consentimento deles.
• Não pratique engenharia social com a equipe ou usuários do QuemFaz, pessoalmente ou por canais de comunicação (email, SMS, WhatsApp, etc.).
• Não realize ações destrutivas. Não delete dados, não altere configurações de outros usuários, não derrube serviços ainda que temporariamente.

5. Escopo

Dentro do escopo

• Aplicativos móveis:
  • Android — pacote com.fugisawa.quemfaz
  • iOS — bundle com.fugisawa.quemfaz
• API pública: https://api.quemfaz.com.br
• Painel administrativo: https://admin.quemfaz.com.br
• Este site: https://quemfaz.com.br

Fora do escopo

• Serviços terceiros que utilizamos: AWS, Sentry, OpenAI, Zoho, Firebase, Google Play Store, Apple App Store, entre outros. Vulnerabilidades nesses serviços devem ser reportadas diretamente aos respectivos fornecedores, que mantêm seus próprios programas de divulgação responsável.
• Ataques volumétricos / negação de serviço (DoS, DDoS) — não realizamos avaliação desses cenários como parte deste programa.
• Engenharia social contra equipe ou usuários — fora do escopo, conforme item 4.
• Ataques físicos a equipamentos, escritórios ou pessoas — fora do escopo.
• Vulnerabilidades em bibliotecas terceiras sem prova de conceito funcional na nossa superfície específica. Reportes do tipo “biblioteca X tem CVE-Y” sem demonstração de impacto concreto no QuemFaz têm prioridade reduzida.
• Falta de cabeçalhos de segurança ou misconfigs de SPF/DMARC sem exploit funcional — bons como sugestões de hardening, mas não tratados como bugs de segurança nesta política.

6. Tipos de bugs especialmente bem-vindos

Lista não exaustiva, ordenada do mais ao menos crítico:

• Execução remota de código (RCE) em qualquer componente do nosso stack.
• Bypass de autenticação (login, OTP, JWT forge, recuperação de senha indevida).
• Bypass de autorização / IDOR: acessar dados ou ações de outro usuário sem permissão.
• Injeção (SQL, NoSQL, XSS persistente ou refletido com impacto, command injection).
• Vazamento de dados sensíveis: PII, tokens, segredos, credenciais aparecendo em logs, respostas de API ou repositórios públicos.
• Privilege escalation: subir de cliente para profissional, de usuário para admin, ou ganhar permissões além das atribuídas.
• Bypass de criptografia ou TOTP: forjar tokens, bypassar 2FA do admin, recuperar segredos cifrados.
• Abuso de lógica de negócio: ressuscitar conta deletada, contornar moderação, manipular contadores de visibilidade, etc.

7. Recompensas

No momento, o QuemFaz não possui programa formal de bug bounty com recompensas monetárias. Estamos em fase pré-lançamento e o programa será reavaliado conforme o serviço ganhar tração e orçamento.

O que oferecemos hoje:

• Reconhecimento público, se você quiser, em um Hall of Fame que manteremos.
• Agradecimento formal por email.
• Conta dedicada para pesquisa mediante solicitação.
• Coordenação proativa para que sua descoberta seja apresentada com o devido crédito quando o problema for público.

Quando o programa formal de bounty existir, esta seção será atualizada com os critérios de elegibilidade, valores e processo.

8. Cronograma de divulgação

• Padrão: 90 dias corridos entre o recebimento do relato e a divulgação pública.
• Antecipação: se o fix já estiver em produção e você quiser publicar antes dos 90 dias, combinamos a data com você.
• Extensão: se o fix exigir mudanças complexas (refatorações estruturais, coordenação com terceiros, releases simultâneas em iOS/Android), podemos pedir mais prazo. Comunicaremos com antecedência e justificativa.

Em todos os casos, a divulgação pública é coordenada — você não publica antes do prazo combinado, e nós não publicamos sem te dar a chance de revisar o texto que descreve sua contribuição.

9. Idiomas

Aceitamos relatos em português (pt-BR) ou inglês. Responderemos no mesmo idioma do relato.

10. Atualizações desta política

Esta política pode ser atualizada sem aviso prévio. A versão e a data de última atualização aparecem no topo da página. Mudanças materiais (escopo, expectativas, recompensas) serão sinalizadas claramente no histórico de versões.

O histórico completo de versões anteriores está disponível no repositório público do site, garantindo transparência sobre as evoluções do compromisso.

11. Contato

• Reportes de segurança: seguranca@quemfaz.com.br
• Apontador formal RFC 9116: /.well-known/security.txt
• Outros assuntos: ver Política de Privacidade §12.