ClassPass

Artigos nessa seção

Exibir mais

Qual é a política de notificação de vulnerabilidades de segurança da ClassPass?

Avatar
ClassPass Support

A segurança de dados é uma das principais prioridades da ClassPass, e acreditamos que trabalhar com especialistas em segurança independentes e qualificados é uma forma importante de identificar os pontos fracos de nosso software.

Se você pensa ter encontrado uma vulnerabilidade de segurança nos serviços da ClassPass, avise-nos; vamos trabalhar junto com você para resolver o problema imediatamente.

Nós valorizamos aqueles que dedicam seu tempo e esforço para relatar vulnerabilidades de segurança, e é por isso que oferecemos um valor monetário como recompensa pela identificação de vulnerabilidades.

 

Política de notificação

Se você acredita ter descoberto uma possível vulnerabilidade, informe-nos enviando um e-mail para security@classpass.com. O recebimento de seu e-mail será confirmado em 5 dias úteis.

Seu relatório deve ser detalhado, incluindo:

  • O site, IP ou página onde a vulnerabilidade pode ser observada.
  • Uma breve descrição do tipo de vulnerabilidade.
  • As etapas para reproduzi-la. Estas devem ser uma prova de conceito benigna, não destrutiva. Isso ajuda a garantir que o relatório possa ser triado com rapidez e precisão.

Não divulgue o problema ao público ou a terceiros – aguarde durante um período de tempo razoável até que possamos resolvê-lo. Nosso objetivo é resolver problemas críticos em até 30 dias após a notificação. Faremos uma triagem do problema para garantir que ele não seja uma repetição, e para classificar a gravidade da vulnerabilidade. Assim que a triagem for concluída e desde que essa vulnerabilidade esteja sendo notificada pela primeira vez, pagaremos via PayPal uma recompensa compatível com sua gravidade.

Você deve envidar todos os esforços para evitar o comprometimento da privacidade, a destruição de dados ou a interrupção ou degradação dos serviços da ClassPass. Interaja apenas com contas que você possui ou para as quais você tem permissão expressa do titular da conta. Você não deve violar intencionalmente nenhuma lei ou regulamento em vigor, incluindo (mas não se limitando a) leis e regulamentos que proíbem o acesso não autorizado aos dados.

 

Exclusões

Durante o trabalho, você deve evitar:

  • Negação de Serviço Distribuída (DDoS)
  • Envio de spam
  • Engenharia social ou roubo de identidade de funcionários ou terceirizados da ClassPass
  • Qualquer tipo de ataque contra propriedades físicas ou centrais de dados da ClassPass
  • Qualquer tipo de ataque contra nossos usuários finais e o comércio de credenciais de usuário roubadas. Não use contas hackeadas ou comprometidas pertencentes a outras pessoas. As vulnerabilidades descobertas com o uso de contas hackeadas ou comprometidas serão desqualificadas.

Obrigado por ajudar a manter a segurança da ClassPass e de seus clientes!

 

Alterações

Essas diretrizes podem ser alteradas de tempos em tempos. A versão mais atual dessas diretrizes estará sempre disponível em https://classpass.com/vulnerability-disclosure.

 

Contato

A ClassPass está sempre aberta a comentários, dúvidas, perguntas e sugestões. Se desejar falar conosco, basta enviar um e-mail para security@classpass.com.

Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 1
Tem outras dúvidas? Fale com a gente

Comentários

0 comentário

Artigo fechado para comentários.

Voltar ao topo

Artigos relacionados