Programa de Recompensa de Bugs

Reporte uma vulnerabilidade de segurança ou de privacidade

A política de recompensa de bugs da TaxDome aplica-se a vulnerabilidades de segurança encontradas no ambiente online público da TaxDome.

Objetivo

O objetivo da política consiste em estabelecer as regras para a revisão, avaliação, aplicação e verificação das atualizações do sistema para mitigar as vulnerabilidades no ambiente de TI e os riscos associados a estas. Caso acredite ter descoberto uma vulnerabilidade de segurança ou de privacidade no produto TaxDome, informe-nos.

Desativar cookies

Poderá impedir a instalação de cookies ajustando as definições do seu browser (consulte a Ajuda do seu browser para obter informações sobre como o fazer). Tenha em atenção que ao desativar os cookies irá afetar a funcionalidade deste e de vários outros websites que visitar. A desativação dos cookies resultará normalmente na desativação de determinadas funcionalidades e características do website. Recomendamos, portanto, que não desative os cookies.

Elegibilidade da recompensa

Os investigadores de segurança não devem realizar qualquer ação destrutiva que possa resultar em:

• Perda de dados de outros utilizadores
• Recusa de serviço a outros utilizadores
• Adicionar a qualquer lista de bloqueio

Se suspeitar da existência de uma vulnerabilidade deste tipo, contacte a equipa de desenvolvimento da TaxDome em help@taxdome.com.

Níveis de gravidade

Classificamos as vulnerabilidades com base no seu potencial impacto nos nossos sistemas. Esta classificação ajuda-nos a dar prioridade às correções e a determinar as recompensas adequadas. Os níveis de gravidade são:

• SEV-1 (baixa gravidade): não há forma de explorar a vulnerabilidade no momento, mas tem potenciais pontos fracos que podem ser explorados no futuro.
• SEV-2 (gravidade média): a vulnerabilidade permite que um infrator tenha um impacto menor ou limitado no funcionamento do sistema. Isto pode envolver um acesso limitado aos dados ou contornar restrições menores.
• SEV-3 (gravidade elevada): a vulnerabilidade tem um impacto significativo no funcionamento de todo o sistema ou permite a um invasor contornar restrições num conjunto limitado de dados.
• SEV-4 (gravidade crítica): a vulnerabilidade tem um impacto significativo em todo o sistema ou permite o acesso fácil a uma quantidade significativa de dados por parte de um invasor.
• SEV-5 (gravidade extrema): a vulnerabilidade concede a um invasor acesso completo e indetectável ao sistema. 

Exemplos de vulnerabilidades por gravidade

Eis alguns exemplos de vulnerabilidades classificadas pelo seu nível de gravidade: 

• SEV-1 (baixa gravidade): Injeção de HTML/código malicioso/injeção de URL; redirecionamento aberto
• SEV-2 (gravidade média): Possibilidade de ataque DOS (denial of service) “negação de serviço”; um funcionário sem os direitos necessários pode ter acesso ao questionário e ao modelo do questionário
• SEV-3 (gravidade elevada): um invasor pode roubar os clientes de um utilizador e associar os clientes aos seus contactos através de IDOR (Insecure Direct Object References) “Referências Inseguras a Objetos Diretos”.
• SEV-4 (gravidade crítica): um invasor pode obter acesso não autorizado para eliminar faturas de todos os utilizadores através do IDOR 
• SEV-5 (gravidade extrema): um invasor pode injetar código arbitrário que lhe permite assumir completamente o controlo da conta de um utilizador, roubar os seus dados e realizar ações não detectadas em seu nome

Proteger os nossos clientes contra o phishing

TaxDome compromete-se a proteger os seus clientes de ataques de phishing. Os e-mails de phishing são tentativas fraudulentas de enganar os destinatários para que revelem informações sensíveis, tais como nomes de utilizador, palavras-passe ou dados financeiros. Por vezes, estes e-mails parecem ser de fontes legítimas, como o proprietário de uma empresa que utiliza a TaxDome.

O que procurar

Os e-mails de phishing conseguem ser muito convincentes, mas existem alguns sinais de alerta a que se deve estar atento:

• O endereço de e-mail pode ser semelhante ao de um remetente legítimo, mas com ligeiras variações (por exemplo, um carácter a mais ou um nome de domínio diferente)
• O e-mail pode dirigir-se ao utilizador de forma genérica em vez de o tratar pelo seu nome
• O e-mail pode criar um sentimento de urgência ou pressão para agir rapidamente
• Os e-mails de phishing contêm frequentemente erros gramaticais ou de digitação

Se receber um e-mail suspeito que alega ser do proprietário da sua empresa ou da TaxDome, não clique em quaisquer links ou anexos.

Comunicar tentativas de phishing

Embora apreciemos a sua vigilância, tenha em atenção que os relatórios sobre tentativas de phishing não são elegíveis para o nosso programa de recompensa de bugs. O nosso programa centra-se na identificação de vulnerabilidades na própria plataforma TaxDome.

Regras do programa

Tenha em conta que apenas pagamos a taxa dos relatórios originais. Em caso de duplicado, informá-lo-emos sobre a data de registo do primeiro relatório.

Relatórios não elegíveis:

• Tudo o que não esteja sob o nosso controlo (serviços de terceiros)
• Tudo o que requer acesso físico ao dispositivo ou à rede
• Tudo o que requer versões desatualizadas de software ou hardware
• Engenharia social, phishing, etc.
• Recomendações e melhores práticas, desde que não haja uma exploração específica

Como comunicar vulnerabilidades de segurança ou privacidade?

1. Caso considere ter descoberto uma vulnerabilidade de segurança ou privacidade que afecte o software, os serviços ou os servidores Web da TaxDome, informe-nos.
2. Aceitamos relatórios de todos, incluindo investigadores de segurança, programadores e clientes.
3. Para comunicar uma vulnerabilidade de segurança ou privacidade, envie um e-mail para help@taxdome.com e inclua vídeos relevantes, registos de falhas e relatórios de diagnóstico do sistema na sua mensagem.
4. Irá receber uma resposta da TaxDome a confirmar a receção do seu relatório. Contactá-lo-emos se precisarmos de mais informações no prazo de 10 dias úteis.