Divulgação responsável

Security at Pikly

O Pikly é construído como um aplicativo de inventário de privacidade. Se você acredita que encontrou uma vulnerabilidade, por favor relate-a de forma responsável para que possamos revisar, corrigir e proteger os usuários.

Relatar uma vulnerabilidade

Se você acredita que encontrou um problema de segurança em Pikly, entre em contato conosco antes de compartilhá-lo publicamente.

Contacto de segurança [email protected]
Send report

What to include

Quanto mais claro for o seu relatório, mais rápido poderemos validar e corrigir o problema.

  • Uma descrição clara da questão e o potencial impacto.
  • Instruções passo a passo para reproduzir o problema.
  • A página afetada, versão do aplicativo, sistema operacional, navegador, dispositivo ou recurso.
  • Capturas de tela, gravações de tela, registros, ou prova de conceito quando útil.
  • Quaisquer condições necessárias para desencadear o problema, tais como permissões, configurações do dispositivo ou estado de assinatura.

Please do not

Os testes devem ser respeitosos, limitados e evitar danos a Pikly, usuários ou infraestrutura.

  • ×Acesse, modifique, exclua, copie ou exponha os dados de outro usuário.
  • ×Execute negação de serviço, estresse, spam, limite de taxa ou teste de exaustão de recursos.
  • ×Use engenharia social, phishing, ataques físicos ou tentativas contra funcionários, usuários ou provedores da Pikly.
  • ×Instale malware, persista no acesso, ignore os sistemas de pagamento ou interrompa as assinaturas.
  • ×Publicar publicamente o problema antes de o termos revisto e tivemos uma oportunidade razoável de o abordar.

Testing scope

Foque em superfícies e recursos de propriedade do Pikly que você está autorizado a usar.

Normalmente no âmbito de aplicação

Páginas públicas do site Pikly, recursos do aplicativo móvel Pikly, fluxo de varredura de código de barras, recursos de inventário local, comportamento de exportação CSV e lógica de acesso à assinatura.

Normalmente fora de alcance

Plataformas de terceiros, como Apple, Google, provedores de pagamento, provedores de hospedagem, provedores de e-mail e problemas que exigem testes prejudiciais ou de alto volume.

Nosso processo de revisão

Pretendemos lidar com relatórios de forma cuidadosa e proporcionada com base na gravidade e reprodutibilidade.

1

Receive

Nós revisamos seu relatório e podemos pedir detalhes adicionais, se necessário.

2

Validate

Tentamos reproduzir a questão, avaliar o risco e priorizar a remediação.

3

Fix

Trabalhamos em uma correção, mitigação, mudança de configuração ou atualização voltada para o usuário, quando apropriado.

4

Coordinate

Pedimos que você coordene qualquer divulgação conosco para que os usuários sejam protegidos primeiro.

Investigação de boa fé

Valorizamos pesquisas de segurança responsáveis que seguem essas diretrizes.

Se você agir de boa fé, evitar violações de privacidade, evitar a interrupção do serviço, e nos dar uma oportunidade razoável para corrigir o problema antes da divulgação, não vamos intencionalmente prosseguir a ação legal contra você para a própria pesquisa. Isso não autoriza atividades ilegais, acesso a sistemas de terceiros, extorsão, ameaças, extração de dados ou ações que prejudiquem usuários ou infraestrutura.

O Pikly não opera atualmente um programa de recompensa de bugs pago. A apresentação de um relatório não garante compensação, crédito ou reconhecimento público.

Contacto

Para relatórios de segurança, utilizar [email protected]. Para perguntas de privacidade, reveja a Política de Privacidade ou entre em contato conosco através do mesmo endereço.

Assunto de email sugerido

Security Report for Pikly