Relatar uma vulnerabilidade
Se você acredita que encontrou um problema de segurança em Pikly, entre em contato conosco antes de compartilhá-lo publicamente.
What to include
Quanto mais claro for o seu relatório, mais rápido poderemos validar e corrigir o problema.
- ✓Uma descrição clara da questão e o potencial impacto.
- ✓Instruções passo a passo para reproduzir o problema.
- ✓A página afetada, versão do aplicativo, sistema operacional, navegador, dispositivo ou recurso.
- ✓Capturas de tela, gravações de tela, registros, ou prova de conceito quando útil.
- ✓Quaisquer condições necessárias para desencadear o problema, tais como permissões, configurações do dispositivo ou estado de assinatura.
Please do not
Os testes devem ser respeitosos, limitados e evitar danos a Pikly, usuários ou infraestrutura.
- ×Acesse, modifique, exclua, copie ou exponha os dados de outro usuário.
- ×Execute negação de serviço, estresse, spam, limite de taxa ou teste de exaustão de recursos.
- ×Use engenharia social, phishing, ataques físicos ou tentativas contra funcionários, usuários ou provedores da Pikly.
- ×Instale malware, persista no acesso, ignore os sistemas de pagamento ou interrompa as assinaturas.
- ×Publicar publicamente o problema antes de o termos revisto e tivemos uma oportunidade razoável de o abordar.
Testing scope
Foque em superfícies e recursos de propriedade do Pikly que você está autorizado a usar.
Normalmente no âmbito de aplicação
Páginas públicas do site Pikly, recursos do aplicativo móvel Pikly, fluxo de varredura de código de barras, recursos de inventário local, comportamento de exportação CSV e lógica de acesso à assinatura.
Normalmente fora de alcance
Plataformas de terceiros, como Apple, Google, provedores de pagamento, provedores de hospedagem, provedores de e-mail e problemas que exigem testes prejudiciais ou de alto volume.
Nosso processo de revisão
Pretendemos lidar com relatórios de forma cuidadosa e proporcionada com base na gravidade e reprodutibilidade.
Receive
Nós revisamos seu relatório e podemos pedir detalhes adicionais, se necessário.
Validate
Tentamos reproduzir a questão, avaliar o risco e priorizar a remediação.
Fix
Trabalhamos em uma correção, mitigação, mudança de configuração ou atualização voltada para o usuário, quando apropriado.
Coordinate
Pedimos que você coordene qualquer divulgação conosco para que os usuários sejam protegidos primeiro.
Investigação de boa fé
Valorizamos pesquisas de segurança responsáveis que seguem essas diretrizes.
Se você agir de boa fé, evitar violações de privacidade, evitar a interrupção do serviço, e nos dar uma oportunidade razoável para corrigir o problema antes da divulgação, não vamos intencionalmente prosseguir a ação legal contra você para a própria pesquisa. Isso não autoriza atividades ilegais, acesso a sistemas de terceiros, extorsão, ameaças, extração de dados ou ações que prejudiquem usuários ou infraestrutura.
O Pikly não opera atualmente um programa de recompensa de bugs pago. A apresentação de um relatório não garante compensação, crédito ou reconhecimento público.
Contacto
Para relatórios de segurança, utilizar [email protected]. Para perguntas de privacidade, reveja a Política de Privacidade ou entre em contato conosco através do mesmo endereço.
Assunto de email sugerido
Security Report for Pikly