Bug Bounty

A EQUIPAMENTOS TÁTICOS DO SUL DO BRASIL (também referida como “AR15BRASIL” ou “nós”) adota medidas para aprimorar nosso produto e oferecer soluções seguras a nossos clientes. Nesta Política de Bug Bounty (a “Política”), que tem como objetivo recompensar a identificação de vulnerabilidades, nós descrevemos casos em que nossa Política de Bug Bounty se aplica e como ela deve ser utilizada em conexão com seu uso de nosso site em https://www.ar15brasil.com.br, inclusive — sem limitação — a páginas de redes sociais ou outras propriedades on-line (conjuntamente, o “Site”), ou quando você utiliza quaisquer de nossos produtos, serviços, conteúdos, recursos técnicos, tecnologias ou outras funcionalidades que oferecemos (conjuntamente, os “Serviços”). Esta Política foi elaborada para ajudar você a obter informações sobre como pode participar de nosso Programa Bug Bounty, quais resultados de pesquisa de segurança são aplicáveis e quais benefícios você pode receber.

O que é o Programa Bug Bounty?

Para aprimorar a empresa e os Serviços, o Programa Bug Bounty da AR15BRASIL oferece a nossos usuários a oportunidade de ganhar recompensas por identificar problemas técnicos.

Como você pode nos informar suas descobertas relativas ao Programa Bug Bounty?

Todas as comunicações devem ser direcionadas a contato@ar15brasil.com.br. Em seu envio, especifique a descrição completa da vulnerabilidade e prova verificável de que ela existe (explicação, passos para reproduzi-la, capturas de tela, vídeos, scripts ou outros materiais nesse sentido).

Regras do programa

Violar essas regras pode implicar na inegibilidade para uma recompensa.

Teste vulnerabilidades somente contra uma conta de sua própria titularidade ou contas de usuários que lhe tenham dado o devido consentimento para teste.

Nunca use uma descoberta para comprometer, extrair dados ou articular com outros sistemas. Use uma prova de conceito somente para demonstrar um problema.

Se informações sigilosas como dados pessoais, dados de acesso etc. forem acessadas como parte de uma vulnerabilidade, elas não deverão ser salvas, armazenadas, transferidas, acessadas nem processadas de qualquer outra forma após a descoberta inicial.

Os pesquisadores não podem e não estão autorizados a se envolverem em nenhuma atividade que interrompa os serviços da AR15BRASIL, a danifique ou lesione.

Os pesquisadores não podem revelar vulnerabilidades publicamente (isto é, revelar algum detalhe a qualquer pessoa que não seja funcionário autorizado da AR15BRASIL), tampouco revelar vulnerabilidades a um terceiro sem a expressa permissão da AR15BRASIL.

Como avaliamos problemas identificados no âmbito do Programa Bug Bounty?

Todas as descobertas são avaliadas utilizando uma abordagem baseada em riscos.

Acordo de Não Divulgação

Antes de começamos a debater qualquer detalhe relativo a problemas confirmados que você venha a identificar no âmbito do Programa Bug Bounty, inclusive compensação e outras questões, você precisará firmar um Acordo de Não Divulgação conosco.

Como pagamos as recompensas do Programa Bug Bounty?

Todas as recompensas são pagas pela AR15BRASIL podem ser pagas somente se não contrariarem as leis e os regulamentos aplicáveis, inclusive — sem limitação — sanções comerciais e restrições econômicas.

Quanto tempo demoraremos para analisar suas descobertas no âmbito do Programa Bug Bounty?

Devido à natureza variada e complexa dos problemas técnicos, não temos prazos específicos estabelecidos para analisar as descobertas no âmbito do Programa Bug Bounty. Nossa análise é concluída somente quando confirmamos a existência ou ausência de uma vulnerabilidade.

Que casos não entram no âmbito do Programa Bug Bounty?

Determinadas vulnerabilidades são consideradas fora do escopo do Programa de Bug Bounty. Entre outras, são vulnerabilidades fora de escopo:

spam;

vulnerabilidades que requeiram engenharia social ou phishing;

ataques de negação de serviço (DDOS);

problemas hipotéticos que não gerem efeitos práticos;

vulnerabilidades de segurança em aplicativos de terceiros e sites de terceiros integrados à AR15BRASIL;

saída de scanner ou relatórios gerados por scanner;

problemas encontrados por meio de testes automatizados;

problemas divulgados publicamente em software de internet no período de 30 dias de sua divulgação;

ataques do tipo “man in the middle”;

injeções em cabeçalho de host sem um efeito específico e demonstrável;

self-XSS, o que inclui qualquer carga inserida pela vítima;

CSRF de login ou logout.

Caso queira obter mais informações sobre esta Política, você pode entrar em contato conosco enviando um e-mail a contato@ar15brasil.com.br