Política de Divulgação Responsável

Em eu4ua, a segurança dos refugiados, hospedeiros e voluntários é a nossa prioridade. O objectivo desta página (a "Política de Divulgação Responsável") é fornecer-lhe toda a informação de que necessita caso tenha descoberto uma potencial vulnerabilidade em qualquer dos nossos produtos ou serviços.

Apreciamos muito a ajuda da nossa comunidade e a garantia de que qualquer revelação seja feita de forma responsável. Por favor, certifique-se de que segue os termos abaixo:

Pode submeter questões a security@eu4ua.org e, por favor, inclua as seguintes informações:

  • URL ou endereço IP afectado
  • uma descrição da questão incluindo uma lista de passos para reproduzir a edição
  • o período de tempo durante o qual foi possível observar o problema

Como somos uma associação, por favor note que não oferecemos um programa de recompensa de insectos. Isto significa que não pagamos recompensas por vulnerabilidades de segurança reveladas.

ESCOPO

O âmbito inclui todos os bens por detrás de eu4ua.org esperam os relacionados com terceiros.

O QUE LHE PEDIMOS

  • Ao procurar potenciais fraquezas no nosso sistema, certifique-se por favor de configurar o seguinte cabeçalho. Dessa forma, ajudar-nos-á a discriminar os seus testes de um actor malicioso.
X-Bug-Hunter: <nickname>

  • Não hesite em partilhar connosco o endereço IP que utilizou para os seus testes enquanto enviava o seu relatório.
  • Se descobrir um problema que revele dados pessoais (PII), deve assegurar-se de que este é apagado logo que tenha feito a revelação.
  • Não violam quaisquer outras leis ou regulamentos aplicáveis.

FAQs

O que é que eu não deveria relatar?

  • Sugestões de configuração do SPF (Sender Policy Framework), DKIM e DMARC
  • Divulgação de ficheiros ou directórios públicos conhecidos (por exemplo, robots.txt)
  • Divulgação de banners sobre serviços comuns/públicos
  • Ataques de Phishing ou Engenharia Social

Quando terei notícias suas depois de fazer uma divulgação?

A nossa equipa enviar-lhe-á uma resposta para o informar de que recebemos o seu relatório, e entrará em contacto consigo se precisarmos de mais informações.

Posso publicar alguma coisa sobre a vulnerabilidade após a minha revelação?

Após revisão e emissão fixada pela nossa equipa, enviar-lhe-emos uma autorização por escrito para divulgar a questão.

Obrigado pelo vosso apoio.