Programa de Recompensa de Bugs

Reporte uma vulnerabilidade de segurança ou de privacidade

A política de recompensa de bugs da TaxDome aplica-se a vulnerabilidades de segurança encontradas no ambiente online público da TaxDome.

Objetivo

O objetivo da política consiste em estabelecer as regras para a revisão, avaliação, aplicação e verificação das atualizações do sistema para mitigar as vulnerabilidades no ambiente de TI e os riscos associados a estas. Caso acredite ter descoberto uma vulnerabilidade de segurança ou de privacidade no produto TaxDome, informe-nos.

Desativar cookies

Poderá impedir a instalação de cookies ajustando as definições do seu browser (consulte a Ajuda do seu browser para obter informações sobre como o fazer). Tenha em atenção que ao desativar os cookies irá afetar a funcionalidade deste e de vários outros websites que visitar. A desativação dos cookies resultará normalmente na desativação de determinadas funcionalidades e características do website. Recomendamos, portanto, que não desative os cookies.

Elegibilidade da recompensa

Os investigadores de segurança não devem realizar qualquer ação destrutiva que possa resultar em:

• Perda de dados de outros utilizadores
• Recusa de serviço a outros utilizadores
• Adicionar a qualquer lista de bloqueio

Se suspeitar da existência de uma vulnerabilidade deste tipo, contacte a equipa de desenvolvimento da TaxDome em help@taxdome.com.

Níveis de gravidade

Classificamos as vulnerabilidades com base em seu possível impacto em nossos sistemas. Essa classificação nos ajuda a priorizar as correções e a determinar as recompensas adequadas. Os níveis de gravidade são:

• SEV-1 (baixa gravidade): não há como explorar a vulnerabilidade no momento, mas ela tem possíveis pontos fracos que podem ser explorados no futuro.
• SEV-2 (gravidade média): a vulnerabilidade permite que um infrator tenha um impacto menor ou limitado no funcionamento do sistema. Isso pode envolver acesso limitado aos dados ou contornar restrições menores.
• SEV-3 (alta gravidade): a vulnerabilidade tem um impacto significativo na operação de todo o sistema ou permite que um invasor contorne restrições em um conjunto limitado de dados.
• SEV-4 (gravidade crítica): a vulnerabilidade tem um impacto significativo em todo o sistema ou permite fácil acesso a uma quantidade significativa de dados por um invasor.
• SEV-5 (gravidade extrema): a vulnerabilidade concede a um invasor acesso completo e indetectável ao sistema. 

Exemplos de vulnerabilidades por gravidade

Aqui estão alguns exemplos de vulnerabilidades classificadas por seu nível de gravidade: 

• SEV-1 (baixa gravidade): Injeção de HTML/código malicioso/injeção de URL; redirecionamento aberto
• SEV-2 (gravidade média): Possibilidade de ataque DOS (denial of service) “negação de serviço”; um funcionário sem os direitos necessários pode ter acesso ao organizador e ao modelo do organizador
• SEV-3 (gravidade elevada): um invasor pode roubar os clientes do usuário e associá-los a seus contatos por meio de IDOR (Insecure Direct Object References) “Referências Inseguras a Objetos Diretos”.
• SEV-4 (gravidade crítica): um invasor pode obter acesso não autorizado para excluir todas as faturas dos usuários por meio do IDOR 
• SEV-5 (gravidade extrema): um invasor pode injetar código arbitrário que lhe permite assumir completamente o controle da conta de um usuário, roubar seus dados e realizar ações não detectadas em seu nome

Proteger nossos clientes contra phishing

A TaxDome tem o compromisso de proteger seus clientes contra ataques de phishing. E-mails de phishing são tentativas fraudulentas de enganar os destinatários para que revelem informações confidenciais, como nomes de usuário, senhas ou dados financeiros. Por vezes, esses e-mails parecem ser de fontes legítimas, como o proprietário de uma empresa que usa TaxDome.

O que procurar

Os e-mails de phishing podem ser muito convincentes, mas há alguns sinais de alerta que você deve observar:

• O endereço de e-mail pode ser semelhante ao de um remetente legítimo, mas com pequenas variações (por exemplo, um caractere extra ou um nome de domínio diferente).
• O e-mail pode se dirigir ao usuário de forma genérica em vez de pelo nome
• O e-mail pode criar um senso de urgência ou pressão para agir rapidamente
• Os e-mails de phishing geralmente contêm erros gramaticais ou de digitação

Se você receber um e-mail suspeito que alega ser do proprietário de sua empresa ou da TaxDome, não clique em nenhum link ou anexo.

Denunciar tentativas de phishing

Embora apreciemos sua vigilância, observe que as denúncias de tentativas de phishing não são elegíveis para nosso programa de recompensa de bugs. Nosso programa se concentra na identificação de vulnerabilidades na própria plataforma TaxDome.

Regras do programa

Tenha em conta que apenas pagamos a taxa dos relatórios originais. Em caso de duplicado, informá-lo-emos sobre a data de registo do primeiro relatório.

Relatórios não elegíveis:

• Tudo o que não esteja sob o nosso controlo (serviços de terceiros)
• Tudo o que requer acesso físico ao dispositivo ou à rede
• Tudo o que requer versões desatualizadas de software ou hardware
• Engenharia social, phishing, etc.
• Recomendações e melhores práticas, desde que não haja uma exploração específica

Como comunicar vulnerabilidades de segurança ou de privacidade?

1. Se acredita ter descoberto uma vulnerabilidade de segurança ou de privacidade que afete o software, os serviços ou os servidores Web da TaxDome, informe-nos.
2. Aceitamos relatórios de todos, incluindo investigadores de segurança, programadores e clientes.
3. Para comunicar uma vulnerabilidade de segurança ou de privacidade, envie um e-mail para help@taxdome.com e inclua vídeos relevantes, registos das falhas e relatórios de diagnóstico do sistema na sua mensagem.
4. Receberá uma resposta da TaxDome a confirmar que recebemos a sua comunicação. Contactá-lo-emos se precisarmos de mais informações.