CONFIDANTI

Documentos

Informações de Segurança

Última atualização: 2026-05-13

Levamos segurança a sério e agradecemos o trabalho de pesquisadores que ajudam a manter-nos — e nossos clientes — seguros. Esta página descreve como reportar uma vulnerabilidade e como trataremos suas informações.

Como reportar

Escreva para security@confidanti.com. Confirmamos relatórios em até um (1) dia útil. Chave PGP disponível mediante solicitação.

Por favor inclua:

  • Descrição clara da vulnerabilidade e seu impacto.
  • Passos reproduzíveis, idealmente com prova de conceito ou gravação.
  • URL ou endpoint afetado, e versão/commit se identificáveis.
  • Seu nome completo e informações de contato.

Escopo

Os itens abaixo serão considerados dentro do escopo:

  • confidanti.com e qualquer subdomínio.
  • A aplicação web e seus endpoints de API.
  • Rotas de autenticação, autorização e acessos delegados.
  • Injeção, desserialização e outras classes do OWASP Top 10.

Fora de escopo

  • Problemas em serviços de terceiros que usamos (Stripe, Resend, Google Cloud) — reporte-os diretamente ao fornecedor. Colaboramos quando útil.
  • Testes de negação de serviço contra produção. Coordene conosco antes.
  • Relatórios baseados apenas em saída de logs sem impacto demonstrável.
  • Cabeçalhos de segurança ausentes sem uma cadeia de exploração funcional.
  • Self-XSS ou problemas que exijam configurações de dispositivos irreais.

Nossa resposta

  • Confirmação: em 1 dia útil.
  • Avaliação inicial: em 3 dias úteis.
  • Resolução: buscamos corrigir falhas críticas em 7 dias, altas em 30, e médias em 90 dias. Manteremos você atualizado.

Tratamento Legal

Não tomaremos ações legais contra pesquisadores de boa-fé que:

  • Façam esforço razoável para evitar violações de privacidade, destruição de dados e interrupção do serviço.
  • Não extraiam dados além do necessário para demonstrar o problema.
  • Nos dêem prazo razoável para corrigir antes de qualquer divulgação pública.
  • Não explorem o problema para fins outros que não o relato.

Se tiver dúvida se seu teste se encaixa nestas diretrizes, entre em contato conosco primeiro.

Outros contatos

Consulte também nosso arquivo security.txt para o contato oficial e chave PGP.