Política de Recompensas em Falhas de Segurança

(Última atualização 12 de abril de 2021)

A WideCommerce reconhece a grande contribuição que pesquisadores externos na área de segurança podem fazer para a segurança dos e-commerces. Por isso, acolhemos e procuramos recompensar as contribuições qualificadas de tais pesquisadores, conforme descrito abaixo. Caso acredite ter encontrado uma vulnerabilidade de segurança em um de nossos e-commerces incentivamos você a falar conosco imediatamente. Examinaremos todas as denúncias legítimas e faremos o que estiver a nosso alcance para corrigir os problemas com rapidez. No entanto, antes de fazer sua denúncia, análise esta página e nossa Política de Divulgação Responsável, diretrizes de recompensa e o escopo do programa.

Política de Divulgação e Pesquisa Responsável

Para enviar um relatório de vulnerabilidade, é necessário que você:

• Faça esforços, em boa-fé, para evitar quebras e violações de privacidade relacionadas a outras pessoas, incluindo (sem limitação) acesso não autorizado ou destruição de dados e interrupção ou degradação de nossos serviços. Não viole intencionalmente nenhuma lei ou regulamentação aplicável, incluindo (sem limitação) leis e regulamentações que proíbam o acesso não autorizado a dados.
• Se acessar acidentalmente os dados de outra pessoa, ou os dados da Empresa (e-commerce) em questão ou da própria WideCommerce sem autorização durante a investigação de um problema, você deve interromper as atividades que possam resultar em qualquer acesso do usuário, ou os dados da Empresa ou os dados da WideCommerce e notificar este sobre quais informações foram acessadas (incluindo uma descrição completa dos conteúdos das informações), procedendo à exclusão imediata das informações de seu sistema. Continuar a acessar os dados de outra pessoa ou os dados da empresa pode demonstrar ausência de boa-fé e desqualificar você de qualquer benefício das Disposições de Comprometimento descritas abaixo. Você não deve compartilhar as informações acessadas de forma inadvertida com qualquer pessoa.
• Você não deve aproveitar um problema de segurança descoberto por qualquer razão que não seja para fins de teste, bem como está proibido de realizar testes fora da própria conta, de uma conta de teste ou outra conta para a qual tem o consentimento explícito por escrito do titular da conta para fazê-lo. (Isso inclui demonstrar risco adicional, por exemplo, o risco de que o problema de segurança poderia ser usado para comprometer dados confidenciais da empresa ou da conta de outro usuário.)
• Você nos dê um tempo razoável para investigar e analisar o problema relatado antes de divulgar publicamente qualquer informação sobre a denúncia ou de compartilhar a informação com outras pessoas.

Disposições de Comprometimento

• Consideramos esses termos para fornecer a você autorização, inclusive nos termos da Lei de Fraude e Abuso de Computadores (Computer Fraud and Abuse Act [CFAA]), para testar a segurança dos produtos e sistemas identificados abaixo como dentro do escopo. Estes termos não concedem a você autorização para acessar deliberadamente os dados da empresa ou da conta de outra pessoa sem consentimento expresso, incluindo, entre outros, informações de identificação pessoal ou dados relacionados a uma pessoa natural identificada ou identificável.
• Se a WideCommerce determinar, a critério exclusivo dela, que você cumpriu, sob todos os aspectos, estes Termos do Programa Wide Secure ao relatar um problema de segurança à WideCommerce, não apresentaremos uma reclamação às autoridades de aplicação da lei nem realizaremos uma ação civil contra você, incluindo ações civis de acordo com a CFAA em conexão com a pesquisa subjacente à sua denúncia e às disposições da DMCA contra você por contornar as medidas tecnológicas que usamos para proteger os ecommerces em questão. A WideCommerce também não intentará uma ação legal contra você por violações de boa-fé ou claramente acidentais de sua política ou destes termos.

Processos do Programa Wide Secure

Reconhecemos e recompensamos pesquisadores de segurança que nos ajudam a manter as pessoas seguras ao relatar vulnerabilidades em nossos serviços e produtos. Gratificações monetárias estão inteiramente a critério da WideCommerce, baseadas em risco, impacto e outros fatores. Para ser considerado para uma gratificação, você deve cumprir os seguintes requisitos:

• Relatar um erro de segurança: isso é, identificar a vulnerabilidade nos nossos serviços ou na infraestrutura o que cria um risco de segurança ou de privacidade. (Observe que é a WideCommerce quem determina o risco de um problema e quantos erros de software não são problemas de segurança.) Denunciar a vulnerabilidade depois de descoberta ou assim que possível.
• Denunciar um erro de segurança envolvendo um dos produtos ou serviços que estão no escopo do programa (ver “Escopo do Programa Bug Wide” abaixo) Excluímos especificamente alguns tipos de problemas de segurança potenciais..
• Enviar a denúncia por meio de nosso formulário (um problema por relatório) e responder a todas as solicitações de acompanhamento de nossa equipe para atualizações ou outras informações. Não entre em contato com nossa equipe diretamente ou por meio de outros canais para falar sobre uma denúncia.
• Use contas de teste quando estiver investigando problemas. Se você não conseguir reproduzir um problema com uma conta de teste, é possível usar uma conta real para a qual tem autorização (exceto para teste automatizado). Não use ou interaja com qualquer conta real pertencente a outra pessoa sem consentimento explícito por escrito do titular da conta.
• Antes de se envolver em qualquer ação que possa ser inconsistente com ou não abordada por estes termos de serviço, entre em contato conosco para obter esclarecimentos enviando uma nova solicitação com a questão.

Por sua vez, seguiremos estas diretrizes ao avaliar denúncias dentro de nosso programa Bug Wide:

• Investigamos e respondemos todas as denúncias válidas. Devido ao volume de denúncias que recebemos, damos prioridade para avaliações com base em risco e outros fatores, portanto pode demorar um pouco para você ser respondido.
• Determinamos as quantias das gratificações tendo como base vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade da denúncia. Se pagarmos uma gratificação, o valor mínimo é de R$ 150. Observe que problemas de baixo risco extremo podem não qualificar uma gratificação. Ainda que o problema identificado seja de baixo risco isoladamente, se sua denúncia nos levar a descobrir vulnerabilidades de alto risco, podemos, a nosso exclusivo critério, pagar uma recompensa adicional.
• Em geral, pagaremos recompensas de valor mais baixo para vulnerabilidades dentro do escopo que são exploráveis somente por meio de versões desatualizadas de software não desenvolvido pela WideCommerce (por exemplo, um navegador web), mas, ainda assim, consideraremos referidas denúncias.
• Procuramos pagar quantias similares para problemas similares, mas os valores das gratificações e a qualificação dos problemas pode mudar com o tempo. Recompensas passadas não garantem necessariamente resultados similares no futuro.
• No caso de denúncias duplicadas, damos a gratificação para a primeira pessoa que enviar um problema. (A WideCommerce determina duplicações a exclusivo critério e não está obrigado a compartilhar detalhes sobre denúncias anteriores semelhantes.) Uma gratificação é paga normalmente apenas para uma pessoa. No entanto, se um relatório subsequente sobre um problema avaliado anteriormente relevar que uma vulnerabilidade ainda está pendente ou é mais séria do que se julgou antes, poderemos pagar uma recompensa para a denúncia subsequente e avaliar se uma recompensa adicional deverá ser concedida para o registro inicial.
• Você pode doar uma gratificação para uma instituição beneficente (o que está sujeito à aprovação do WideCommerce). Na verdade, dobramos o valor da gratificação que são doados dessa maneira.
• Reservamo-nos o direito de publicar as denúncias (e as atualizações que as acompanham).
• Verificamos se todas as gratificações são permitidas pelas leis aplicáveis, incluindo (sem limitação) sanções comerciais e restrições econômicas do Brasil.

Escopo do Programa Bug Wide

Para se qualificar para uma gratificação, você pode denunciar um problema de segurança na WideCommerce em um dos produtos a seguir:

• WideCommerce Magento 1.x
• WideCommerce Magento 2.x
• WideCommerce Woocommerce

Observe que aplicativos, scripts ou sites de terceiros que não pertencem ou não são controlados pela WideCommerce não estão no escopo do programa.