Segurança e Responsible Disclosure
Levamos a segurança da plataforma a sério. Se você encontrar uma vulnerabilidade, reporte de forma responsável para que possamos verificar, corrigir e proteger os usuários.
1) Contato de segurança
- Email de segurança: security@catalo.id
- Para problemas de billing/refund/acesso à conta que não sejam de segurança, use Contato ou email support@catalo.id .
2) Como reportar uma vulnerabilidade
Envie um email para o contato de segurança e inclua detalhes suficientes para que possamos reproduzir e validar o problema.
- URL/recurso afetado e passos de reprodução detalhados.
- Impacto: o que um atacante poderia fazer?
- Proof-of-concept seguro e não destrutivo, se houver.
- Seu contato preferido para follow-up.
3) Nossa resposta
- Buscamos confirmar o recebimento dos reports em até 3 dias úteis.
- A triagem e avaliação de severidade normalmente são concluídas em até 7 dias úteis dependendo da complexidade.
- Podemos pedir detalhes adicionais para validar o report.
- As correções são liberadas conforme severidade e risco.
4) Diretrizes de responsible disclosure
Para proteger usuários e a plataforma, siga estas diretrizes durante testes e disclosure.
- Testes não destrutivos com exposição mínima de dados.
- Report privado para o contato de segurança.
- Passos de reprodução e evidências claras.
- Acessar, alterar ou excluir dados que não são seus.
- Interromper o serviço, como DDoS, load testing, spam ou brute force.
- Engenharia social, phishing ou extorsão.
5) Escopo
O escopo inclui propriedades web e serviços que operam no domínio catalo.id.
Se você não tem certeza se um alvo está no escopo, pergunte primeiro pelo email de segurança.
6) security.txt
Publicamos um arquivo padrão de contato de segurança, security.txt, para facilitar reports.
7) Contato
Segurança: security@catalo.id · Suporte: support@catalo.id