+55 11 3568-2843
Acceder a Soluciones
Política de Seguridad

Divulgación Responsable

Gracias por ayudar a mantener seguros a los clientes de Eyou. Esta política describe cómo reportar vulnerabilidades, qué prometemos a cambio y el alcance del programa.

Canal directoRFC 9116

¿Encontraste una vulnerabilidad?

Envía tu hallazgo por email con prefijo [SECURITY]. Respuesta inicial en 5 días hábiles. Críticos confirmados en 24h.

suporte@eyou.com.br
Cómo reportar

Incluye en tu mensaje

Cuanto más detalle, más rápido reproducimos y corregimos.

1
Tipo de vulnerabilidad + URL/endpoint afectado
2
Reproducción paso a paso (proof-of-concept)
3
Evaluación de impacto (qué podría hacer un atacante)
4
Sugerencia de corrección, si tienes
5
Si quieres crédito público + nombre/handle
6
Ventana de divulgación que prefieres
Nuestro compromiso contigo

Lo que prometemos

5d

Respuesta inicial

Reconocimiento en 5 días hábiles tras el reporte.

24h

Críticos

Vulnerabilidades críticas confirmadas y priorizadas en 24h.

7d

Actualizaciones

Actualización escrita cada 7 días hasta la resolución.

0

Acción legal

Cero acción legal contra investigadores de buena fe.

Alcance

Qué está cubierto

Lista oficial de activos para los que aceptamos reportes. Fuera de esta lista, reenviamos al proveedor o rechazamos.

En alcance

  • eyou.com.br · www.eyou.com.br Sitio público institucional
  • authy.eyou.com.br Portal cliente final
  • sms.eyou.com.br Panel SMS del cliente

Fuera de alcance

  • Servicios terceros embedados Mercado Pago, reCAPTCHA, OCI managed — reportar al proveedor
  • Ingeniería social Contra empleados, terceros o clientes Eyou — siempre fuera
  • DDoS / DoS volumétrico No probar; tenemos mitigación OCI gestionada
  • Software 30+ días sin patch Ya conocido; no es reporte nuevo
Señal

Qué NO es vulnerabilidad para nosotros

Reportes con estos patrones se cierran sin investigación detallada.

No cuenta

Falta de security header sin exploit demostrable

No cuenta

Self-XSS que requiere víctima pegar código en su propia consola

No cuenta

Reportes basados solo en salida de scanner sin validación manual

No cuenta

Open redirects sin impacto de seguridad real

No cuenta

CSV injection en exports que el propio usuario genera

No cuenta

Falta de SPF/DKIM en dominios que no envían email

Investigadores reconocidos

Hall de Agradecimientos

Investigadores que reportaron vulnerabilidades válidas, con su consentimiento.

Sin agradecimientos públicos aún

Sé el primer nombre listado aquí.

Archivo machine-readable RFC 9116: /.well-known/security.txt.
Bug bounty en dinero aún no disponible — programa en evaluación para 2026 H2.