White Hat Policy

Caso acredite ter encontrado uma vulnerabilidade de segurança em nosso website, incentivamos você a falar conosco imediatamente. Examinaremos todas as denúncias legítimas e faremos o que estiver ao nosso alcance para corrigir os problemas com rapidez. No entanto, antes de fazer sua denúncia, analise esta página e nossa Política de Divulgação Responsável e diretrizes de recompensa.

Política de Divulgação Responsável

Se você estiver em conformidade com as políticas abaixo ao denunciar um problema de segurança, nós não daremos entrada em um processo ou faremos uma investigação policial contra você por ter feito a denúncia. Nós solicitamos que:

  • Você nos dê um tempo razoável para investigar e analisar o problema relatado antes de tornar pública qualquer informação sobre a denúncia ou de compartilhar a informação com outras pessoas.
  • Você não interaja com uma conta individual (isso inclui modificar ou acessar dados da conta), caso não tenha o consentimento do proprietário da conta para executar tal ação.
  • Você faça esforços, em boa fé, para evitar quebras e violações de privacidade relacionadas a outras pessoas, incluindo (mas não limitado a) destruição de dados e interrupção ou degradação dos nossos serviços.
  • Você não explore o problema de segurança que descobriu por nenhum motivo. (Isso inclui demonstrar riscos adicionais, como a tentativa de comprometer a confidencialidade dos dados da empresa ou procurar problemas adicionais.)
  • Você não infrinja nenhuma outra lei ou regulamentação.

Equipe do programa Bug Bounty

Nós reconhecemos e recompensamos pesquisadores de segurança que nos ajudam a manter as pessoas seguras ao relatar vulnerabilidades nos nossos serviços. Gratificações monetárias estão inteiramente a critério da empresa, baseadas em risco, impacto e outros fatores. Para se qualificar para uma gratificação, você precisa atender aos requisitos a seguir:

  • Aderir à Política de Divulgação Responsável (ver acima).
  • Relate um erro de segurança: isso é, identificar a vulnerabilidade nos nossos serviços ou na infraestrutura o que cria um risco de segurança ou de privacidade. (Observe que é o a empresa quem determina o risco de um problema e quantos erros de software não são problemas de segurança.)
  • Envie a sua denúncia através do email suplementos@americavitaminas.com. Não entre em contato com funcionários diretamente ou através de outros canais para falar sobre a denúncia.
  • Se você, inadvertidamente, casou uma violação ou quebra de privacidade (como acessar dados da conta, configurações de serviço ou outras informações confidenciais) quando estava investigando um problema, não se esqueça de informar isso na sua denúncia.
  • Use contas de teste quando estiver investigando problemas. Se você não conseguir reproduzir um problema com uma conta teste, é possível usar uma conta real (exceto para teste automatizado). Não interaja com outras contas sem consentimento.

Por sua vez, vamos seguir estas diretrizes ao avaliar denúncias dentro do nosso programa bug bounty:

  • Nós investigamos e respondemos todas as denúncias válidas. Devido ao volume de denúncias que recebemos, nós damos prioridade para avaliações com base em risco e outros fatores, portanto pode demorar um pouco para você ser respondido.
  • Nós determinamos as quantias das gratificações tendo como base vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade da denúncia. Se pagarmos uma gratificação, o valor mínimo é de R$ 100. Observe que problemas de baixo risco extremo podem não qualificar uma gratificação.
  • Procuramos pagar quantias similares para problemas similares, mas os valores das gratificações e a qualificação dos problemas pode mudar com o tempo. Recompensas passadas não garantem necessariamente resultados similares no futuro.
  • No caso de denúncias duplicadas, nós damos a gratificação para a primeira pessoa que enviar um problema. Uma gratificação é paga apenas para uma pessoa.
  • Reservamo-nos o direito de publicar as denúncias (e as atualizações que as acompanham).
  • Nós verificamos que todas as gratificações são permitidas pela lei, incluindo (mas não limitado a) sanções comerciais e restrições econômicas dos EUA.