Trust Center Políticas

Política de Divulgação Responsável

Versão 1.0 — Vigente desde 16 de maio de 2026 · Responsible Disclosure Policy

Introdução

A MantovaniTec leva a segurança a sério. Reconhecemos que, mesmo com as melhores práticas, vulnerabilidades podem existir. Agradecemos o trabalho da comunidade de segurança em identificá-las e reportá-las de forma responsável.

Esta política descreve como reportar vulnerabilidades, o que você pode esperar de nós e como reconhecemos pesquisadores que nos ajudam a melhorar a segurança de nossos sistemas.

1. Escopo

Dentro do escopo

  • Todos os subdomínios de mantovanitec.com
  • APIs públicas dos produtos MantovaniTec
  • Aplicações web hospedadas pela MantovaniTec
  • Infraestrutura diretamente operada pela MantovaniTec

Fora do escopo

  • Infraestrutura de terceiros (Hetzner, Cloudflare, Hostinger) — reporte diretamente a eles.
  • Ataques físicos, engenharia social ou phishing contra colaboradores.
  • Denial of Service (DoS/DDoS) ou brute force massivo.
  • Vulnerabilidades em versões de software de terceiros já com patch disponível mas não por nós aplicado — reporte como incidente de atualização pendente.
  • Spam, e-mail spoofing sem impacto demonstrável.
  • Questões de segurança sem exploração demonstrável (ex.: DMARC sem reporte de phishing ativo).

2. Como reportar

Envie seu reporte para security@mantovanitec.com. Para comunicações confidenciais, utilize nossa chave PGP disponível em /assets/keys/security.asc.

Inclua no reporte:

  • Descrição clara da vulnerabilidade e seu impacto potencial.
  • Passos detalhados para reprodução (proof of concept).
  • URL ou endpoint afetado.
  • Ambiente de teste usado (sistema operacional, navegador, versão).
  • Capturas de tela, logs ou outros artefatos relevantes.
  • Seu nome e contato para retorno (opcional — aceitos reportes anônimos).

Quanto mais detalhado o reporte, mais rapidamente conseguimos reproduzir, confirmar e corrigir a vulnerabilidade.

3. Nossos compromissos

  • Resposta inicial em até 72 horas úteis confirmando o recebimento do reporte.
  • Atualização de status em até 7 dias corridos com confirmação da vulnerabilidade, classificação de risco e plano de remediação ou explicação caso não seja confirmada.
  • Comunicação transparente sobre o progresso da correção. Se precisarmos de mais tempo, avisaremos.
  • Nenhuma ação legal contra pesquisadores que agirem de boa-fé, dentro do escopo e sem causar danos além do necessário para demonstrar a vulnerabilidade.
  • Reconhecimento público (Hall of Fame) para quem desejar ser creditado após a correção ser publicada.

4. Prazos de remediação

Severidade Prazo alvo Exemplos
Crítica Até 24 horas RCE, SQLi com acesso a dados de produção, bypass de autenticação total
Alta Até 7 dias XSS stored, IDOR com acesso a dados de outros usuários, SSRF
Média Até 30 dias XSS reflected, CSRF com impacto limitado, exposição de informações não críticas
Baixa Próximo ciclo Missing headers, clickjacking sem impacto real, enumeração de usuários

Em casos excepcionais de complexidade técnica, podemos solicitar extensão de prazo com justificativa e acordo mútuo.

5. Divulgação coordenada

Solicitamos que pesquisadores aguardem nossa confirmação de correção antes de publicar qualquer detalhe da vulnerabilidade. Coordenaremos a data de divulgação pública (disclosure date) em comum acordo.

Como padrão, solicitamos embargo de 90 dias a partir da confirmação da vulnerabilidade. Vulnerabilidades críticas podem ter embargo estendido mediante justificativa.

6. Recompensas

Atualmente não operamos um programa formal de bug bounty com recompensas monetárias. Reconhecemos pesquisadores com:

  • Menção no Hall of Fame público deste Trust Center (com nome e link se desejado).
  • Carta de agradecimento formal, quando solicitada para portfolio.
  • Divulgação coordenada de CVE, quando aplicável.

Um programa de bug bounty com recompensas está em avaliação para o futuro.

7. Hall of Fame

Pesquisadores que reportaram vulnerabilidades válidas e desejaram reconhecimento público serão listados abaixo após a publicação da correção.

Nenhum reporte registrado ainda. Seja o primeiro a contribuir.

Histórico de versões

VersãoDataAlterações
1.016/05/2026Versão inicial