A segurança de dados é uma das principais prioridades da ClassPass, e acreditamos que trabalhar com especialistas em segurança independentes e qualificados é uma forma importante de identificar os pontos fracos de nosso software.
Se você pensa ter encontrado uma vulnerabilidade de segurança nos serviços da ClassPass, avise-nos; vamos trabalhar junto com você para resolver o problema imediatamente.
Nós valorizamos aqueles que dedicam seu tempo e esforço para relatar vulnerabilidades de segurança, e é por isso que oferecemos um valor monetário como recompensa pela identificação de vulnerabilidades.
Política de notificação
Se você acredita ter descoberto uma possível vulnerabilidade, informe-nos enviando um e-mail para security@classpass.com. O recebimento de seu e-mail será confirmado em 5 dias úteis.
Seu relatório deve ser detalhado, incluindo:
- O site, IP ou página onde a vulnerabilidade pode ser observada.
- Uma breve descrição do tipo de vulnerabilidade.
- As etapas para reproduzi-la. Estas devem ser uma prova de conceito benigna, não destrutiva. Isso ajuda a garantir que o relatório possa ser triado com rapidez e precisão.
Não divulgue o problema ao público ou a terceiros – aguarde durante um período de tempo razoável até que possamos resolvê-lo. Nosso objetivo é resolver problemas críticos em até 30 dias após a notificação. Faremos uma triagem do problema para garantir que ele não seja uma repetição, e para classificar a gravidade da vulnerabilidade. Assim que a triagem for concluída e desde que essa vulnerabilidade esteja sendo notificada pela primeira vez, pagaremos via PayPal uma recompensa compatível com sua gravidade.
Você deve envidar todos os esforços para evitar o comprometimento da privacidade, a destruição de dados ou a interrupção ou degradação dos serviços da ClassPass. Interaja apenas com contas que você possui ou para as quais você tem permissão expressa do titular da conta. Você não deve violar intencionalmente nenhuma lei ou regulamento em vigor, incluindo (mas não se limitando a) leis e regulamentos que proíbem o acesso não autorizado aos dados.
Exclusões
Durante o trabalho, você deve evitar:
- Negação de Serviço Distribuída (DDoS)
- Envio de spam
- Engenharia social ou roubo de identidade de funcionários ou terceirizados da ClassPass
- Qualquer tipo de ataque contra propriedades físicas ou centrais de dados da ClassPass
- Qualquer tipo de ataque contra nossos usuários finais e o comércio de credenciais de usuário roubadas. Não use contas hackeadas ou comprometidas pertencentes a outras pessoas. As vulnerabilidades descobertas com o uso de contas hackeadas ou comprometidas serão desqualificadas.
Obrigado por ajudar a manter a segurança da ClassPass e de seus clientes!
Alterações
Essas diretrizes podem ser alteradas de tempos em tempos. A versão mais atual dessas diretrizes estará sempre disponível em https://classpass.com/vulnerability-disclosure.
Contato
A ClassPass está sempre aberta a comentários, dúvidas, perguntas e sugestões. Se desejar falar conosco, basta enviar um e-mail para security@classpass.com.