Programa de Bug Bounty da Docsie¶
Como empresa, acreditamos na colaboração com especialistas em hacking ético e testadores de segurança para tornar o nosso produto tecnologicamente sólido e livre de vulnerabilidades. Em 2022, o mercado global de plataformas de bug bounty valia mil milhões de euros. Este valor deverá atingir os 2,5 mil milhões de euros até 2028, crescendo a uma taxa anual de 15,84%. Alinhando os nossos sistemas com as tendências atuais, lançámos o Programa de Bug Bounty da Docsie para que nos possa ajudar a identificar falhas e corrigi-las. O programa considerará diferentes tipos de vulnerabilidades e oferecerá recompensas aos investigadores de segurança que contribuírem para manter o nosso produto seguro. Com a sua ajuda, podemos tornar a segurança da Docsie mais robusta e forte!
Programa de Bug Bounty da Docsie¶
Errar é humano, perdoar é divino! E encontrar os erros e corrigi-los é o objetivo da Docsie!
A segurança da Docsie é difícil de quebrar, mas com o constante surgimento de tecnologias complexas, reconhecemos a importância de detetar vulnerabilidades de alto risco. Este programa é um convite oficial a todos os especialistas em hacking ético e em remediação de vulnerabilidades para se juntarem a nós na identificação de vulnerabilidades que ainda existam nos nossos sistemas e produtos. Se deseja participar neste programa de bug bounty, certifique-se que lê e compreende os nossos termos e condições.
Requisitos Gerais e de Teste¶
A Docsie valoriza a segurança e considera-a resultado de uma colaboração bem-sucedida entre a empresa e a comunidade especializada de investigadores de segurança. Através do programa de bug bounty, pretendemos tornar os nossos produtos tecnológicos mais seguros, eliminando todos os tipos de vulnerabilidades. Como defensores do hacking ético, incentivamos todos os participantes a cumprirem os seguintes requisitos para considerarmos as suas propostas de remediação para recompensa.
| PASSOS | REQUISITOS |
|---|---|
| #1 | Partilhe as suas submissões connosco juntamente com uma pontuação CVSS e uma Prova de Conceito (POC) funcional. Isto ajudar-nos-á a compreender o impacto e a importância do problema no contexto da segurança da Docsie. |
| #2 | Ao identificar vulnerabilidades nos nossos sistemas, tire capturas de ecrã claras para explicar o problema de forma concisa. |
| #3 | Liste as suas sugestões e orientações de remediação, abordando o problema em questão. |
| #4 | Certifique-se que a sua submissão é única, não plagiada e está alinhada com as vulnerabilidades do programa de bug bounty. |
Orientações para requisitos de teste¶
A segurança e conveniência dos nossos utilizadores é de extrema importância na Docsie. Como participante no nosso programa de bug bounty, certifique-se que cumpre as seguintes condições.
Não utilize scanners para testar tipos de vulnerabilidades. Para ser elegível para recompensa, evite usar scans automatizados, pois podem potencialmente prejudicar os nossos serviços.
Realize os seus testes de segurança da Docsie apenas nos URLs https://app.docsie.io. Os nossos URLs oficiais são parte integrante da nossa infraestrutura.
Evite realizar testes durante os fins de semana. Mesmo seguindo as melhores práticas de hacking ético, testes durante fins de semana podem afetar a estabilidade dos nossos serviços, dificultando a experiência dos utilizadores.
Certifique-se que todos os seus testes estão livres de ataques de engenharia social. Siga as diretrizes do processo de revisão de submissões e não realize tarefas relacionadas com baiting, phishing, tailgating ou pretexting.
Pontos a Considerar¶
De acordo com as regras do Open Bug Bounty, vulnerabilidades relacionadas com as seguintes áreas não incluirão testes intrusivos no programa de bug bounty da Docsie:
- Cross-Site Request Forgery (CSRF)
- Cross-Site Scripting (XSS)
- Controlo de Acesso Inadequado
- Redirecionamento Aberto
Embora estejamos interessados em identificar tipos de vulnerabilidades e reconheçamos o valor da remediação através do hacking ético, não permitimos testes intrusivos que possam comprometer os nossos sistemas, processos ou produtos. O programa visa a deteção e comunicação de vulnerabilidades sem o uso de scanners de vulnerabilidades de terceiros ou ferramentas automatizadas. A segurança da Docsie valoriza a estabilidade do sistema e a conformidade regulatória e, portanto, não ofereceremos recompensas por vulnerabilidades que possam representar ameaças ao nosso site, infraestrutura ou dados.
Incentivos e recompensas¶
Na Docsie, valorizamos a dedicação, trabalho árduo e sinceridade de todos que participam no programa de bug bounty para identificar vulnerabilidades nos nossos produtos. Após verificação bem-sucedida e remediação da vulnerabilidade, a Docsie oferecerá recompensas em dinheiro com valores entre 25€ e 500€, dependendo da gravidade e impacto do problema identificado. Tenha em atenção que, em todas as circunstâncias, ofereceremos a recompensa apenas se os participantes seguirem as melhores práticas de hacking ético e aderirem aos termos e condições desta iniciativa.
Considerações Finais¶
A Docsie segue uma política de tolerância zero para atividades ilícitas no seu programa de bug bounty. O nosso objetivo é reforçar a segurança da Docsie oferecendo remediação eficaz de vulnerabilidades. Incentivamos todos os participantes a serem respeitosos e educados, garantindo altos padrões de testes de segurança. Aceitaremos apenas submissões realizadas de boa-fé e ofereceremos a recompensa após uma análise completa. Então, o que está à espera? Participe hoje no programa de bug bounty da Docsie e ajude-nos a construir produtos e sistemas seguros. A sua experiência, conhecimento e vigilância ajudar-nos-ão a garantir uma tecnologia melhor e mais segura para todos os utilizadores.