Política de Divulgação Responsável
Última atualização: 26 de junho de 2026
A segurança é o coração do ElliotScan. Acreditamos que a comunidade de segurança desempenha um papel fundamental na proteção da internet. Se você identificou uma vulnerabilidade de segurança na nossa plataforma, queremos saber — e agradecer.
Esta política descreve como reportar vulnerabilidades de forma responsável e o que você pode esperar de nós em retorno.
1. Escopo
In Scope (Aceito)
- Aplicação web principal (app.elliotscan.com)
- API REST (/api/*)
- Autenticação e gerenciamento de sessão
- Controle de acesso e autorização (RLS)
- Processamento de pagamentos
- Exposição de dados sensíveis
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Injection (SQL, NoSQL, Command)
- Insecure Direct Object Reference (IDOR)
- Server-Side Request Forgery (SSRF)
Out of Scope (Não aceito)
- Ataques de negação de serviço (DoS/DDoS)
- Engenharia social contra funcionários
- Ataques físicos contra infraestrutura
- Spam ou email flooding
- Clickjacking em páginas sem ações sensíveis
- Self-XSS (requer interação do próprio usuário)
- Relatórios de ferramentas automatizadas sem validação manual
- Problemas em serviços de terceiros (Stripe, Supabase)
- Vulnerabilidades em navegadores ou plugins desatualizados
2. Como Reportar
Envie seu relatório para security@elliotscan.com com as seguintes informações:
- Descrição: Explicação clara da vulnerabilidade e seu impacto potencial.
- Passos para reprodução: Instruções detalhadas, passo a passo, para reproduzir o problema.
- Prova de conceito (PoC): Screenshots, vídeos, payloads ou scripts que demonstrem a vulnerabilidade.
- Impacto: Classificação de severidade sugerida (Crítica, Alta, Média, Baixa) usando CVSS quando possível.
- Sugestão de correção: Se possível, inclua uma recomendação de como corrigir o problema.
Criptografia: Para reportes sensíveis, você pode criptografar seu e-mail com nossa chave PGP pública, disponível em elliotscan.com/.well-known/security.txt.
3. Regras de Engajamento
Ao participar do nosso programa de divulgação responsável, pedimos que:
- Não acesse, modifique ou exclua dados de outros usuários. Use contas de teste próprias.
- Não realize ataques de negação de serviço ou qualquer ação que degrade a disponibilidade da plataforma.
- Não divulgue publicamente a vulnerabilidade antes da correção e da autorização do ElliotScan.
- Pare os testes assim que confirmar a vulnerabilidade — não explore além do necessário para a PoC.
- Não utilize ferramentas automatizadas de forma agressiva que possa impactar a performance.
- Comunique-se exclusivamente pelo canal indicado (security@elliotscan.com).
4. Nosso Compromisso
- Resposta inicial em até 3 dias úteis confirmando o recebimento do relatório.
- Análise e triagem em até 10 dias úteis com classificação de severidade.
- Correção conforme severidade: Crítica (24-72h), Alta (7 dias), Média (30 dias), Baixa (90 dias).
- Notificação ao pesquisador quando a correção for implementada.
- Crédito público (Hall of Fame) ao pesquisador, se desejado, após a correção.
- Safe harbor: Não tomaremos medidas legais contra pesquisadores que agirem de boa-fé e em conformidade com esta política.
5. Reconhecimento
Pesquisadores que reportarem vulnerabilidades válidas e inéditas poderão receber:
- Menção no nosso Security Hall of Fame (com consentimento).
- Acesso gratuito ao plano Pro por período determinado (a critério do ElliotScan).
- Carta de recomendação para profissionais de segurança que demonstrarem excelência técnica.
Nota: O ElliotScan não opera um programa de bug bounty remunerado no momento. Reservamo-nos o direito de implementar recompensas financeiras no futuro.
6. Contato
- Relatórios de segurança: security@elliotscan.com
- Contato geral: contato@elliotscan.com
Agradecemos sua contribuição para tornar o ElliotScan e a internet mais seguros.