Política de Divulgação Responsável
Na vidaXL consideramos a segurança dos nossos sistemas uma prioridade máxima. Contudo e independentemente do esforço que dediquemos à segurança do sistema, podem ainda estar presentes vulnerabilidades. Se descobrir uma vulnerabilidade, gostaríamos que nos informasse de forma a tomarmos medidas resolutórias o mais rápido possível. Pedimos a sua cooperação para que possamos proteger melhor os nossos clientes e os nossos sistemas.
Proceda conforme abaixo indicado:
Envie o que quer que tenha descoberto por email para cert@vidaxl.com.
Não tire proveito da vulnerabilidade ou do problema descoberto tal como, por exemplo, efetuando o download de mais dados do que o necessário para demonstrar a vulnerabilidade ou excluir ou modificar os dados de outras pessoas.
Não revele o problema a outras pessoas até que seja resolvido.
Não use ataques à segurança física, engenharia social, negação de serviço distribuída, spam ou aplicações de terceiros e forneça informações suficientes que reproduzam o problema, para que possamos resolvê-lo o mais rápido possível.
Por norma o endereço IP ou URL do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir explicações adicionais.
O que prometemos:
Responderemos ao seu relatório após a respetiva avaliação. Tal pode demorar algum tempo, dependendo do que reportou.
Se seguiu as instruções acima indicadas, não intentaremos nenhuma ação legal contra si e relativamente ao relatório.
Trataremos o seu relatório com estrita confidencialidade e não iremos enviar os seus dados pessoais a terceiros sem a sua permissão, exceto a especialistas externos em segurança a quem poderemos eventualmente pedir conselhos.
Iremos mantê-lo informado sobre o progresso da resolução do problema.
Na divulgação pública do problema reportado, indicaremos o seu nome como sendo o da pessoa que descobriu o problema (a menos que nos indique o contrário) e como um sinal da nossa gratidão pela sua assistência ofereceremos uma recompensa por cada relatório de um problema de segurança que ainda não era do nosso conhecimento. O que por norma se traduz num voucher da nossa loja virtual. O valor da recompensa será determinado com base na gravidade da falha e na qualidade do relatório. Note que não oferecemos recompensas em dinheiro.
Esforçamo-nos para resolver todos os problemas o mais rápido possível e gostaríamos de ter um papel ativo na publicação final do problema assim que este tenha sido resolvido.