+55 11 3568-2843
Acessar Soluções
Política de Segurança

Divulgação Responsável

Obrigado por ajudar a manter os clientes da Eyou seguros. Esta política descreve como reportar vulnerabilidades, o que prometemos em troca e o escopo do programa.

Canal diretoRFC 9116

Encontrou uma vulnerabilidade?

Envie sua descoberta por email com prefixo [SECURITY] no assunto. Resposta inicial em até 5 dias úteis. Críticos confirmados em 24h.

suporte@eyou.com.br
Como reportar

Inclua na sua mensagem

Quanto mais detalhe, mais rápido reproduzimos e corrigimos.

1
Tipo de vulnerabilidade + URL/endpoint afetado
2
Reprodução passo-a-passo (proof-of-concept)
3
Avaliação de impacto (o que um atacante poderia fazer)
4
Sugestão de correção, se você tiver
5
Se quer crédito público + nome/handle a usar
6
Janela de divulgação que você prefere
Nosso compromisso com você

O que prometemos

5d

Resposta inicial

Reconhecimento dentro de 5 dias úteis após o reporte.

24h

Críticos

Vulnerabilidades críticas confirmadas e priorizadas em 24h.

7d

Status updates

Atualização escrita a cada 7 dias até a resolução.

0

Ação legal

Zero ação legal contra pesquisadores de boa-fé.

Escopo

O que está coberto

Lista oficial dos ativos que aceitamos reporte. Fora dessa lista, encaminhamos ao fornecedor ou rejeitamos.

Em escopo

  • eyou.com.br · www.eyou.com.br Site público institucional
  • authy.eyou.com.br Portal cliente final
  • sms.eyou.com.br Painel SMS do cliente

Fora de escopo

  • Serviços terceiros embedados Mercado Pago, reCAPTCHA, OCI managed — reportar ao fornecedor diretamente
  • Engenharia social Contra funcionários, terceiros ou clientes Eyou — sempre fora
  • DDoS / DoS volumétrico Não testar; já temos mitigação OCI gerenciada
  • Software 30+ dias sem patch Já conhecido por nós; não é reporte novo
Sinais

O que NÃO é vulnerabilidade pra gente

Reportes nesses padrões são fechados sem investigação detalhada.

Não conta

Falta de security header sem exploit demonstrável

Não conta

Self-XSS exigindo que a vítima cole código no próprio console

Não conta

Reporte baseado só em saída de scanner sem validação manual

Não conta

Open redirects sem impacto de segurança real

Não conta

CSV injection em export que o próprio usuário gera

Não conta

Falta de SPF/DKIM em domínios sem envio de email

Pesquisadores reconhecidos

Hall de agradecimentos

Listamos aqui pesquisadores que reportaram vulnerabilidades válidas, com seu consentimento.

Ainda sem agradecimentos públicos

Seja o primeiro nome listado aqui.

Arquivo machine-readable RFC 9116: /.well-known/security.txt.
Bug bounty em dinheiro ainda não disponível — programa em avaliação para 2026 H2.