Kotas Plus Bug Bounty
Objetivo
O objetivo deste programa de bug bounty é incentivar e recompensar a descoberta responsável de vulnerabilidades em nossa plataforma. Ao receber relatórios de segurança de pesquisadores externos, esperamos melhorar continuamente a segurança de nossos produtos e proteger nossos usuários.
Note que este programa de recompensas se destina exclusivamente a relatórios de segurança relacionados a vulnerabilidades técnicas. Relatórios sobre problemas de usabilidade, sugestões de melhoria ou outros feedbacks não estão incluídos neste programa.
Escopo
Este programa de bug bounty se aplica a todos os sistemas e propriedades digitais pertencentes à Kotas, incluindo, mas não se limitando a:
- WebSite Principal ( kotasplus.com.br );
- APIs Públicas;
- Serviços Web;
- Outros sistemas internos e externos utilizados pela empresa.
Vulnerabilidades Elegíveis
Aceitamos relatórios de segurança sobre uma ampla gama de vulnerabilidades, incluindo, mas não se limitando a:
- Cross-site scripting (XSS);
- Injeção de SQL;
- Cross-site request forgery (CSRF);
- Execução remota de código (RCE);
- Escalada de privilégios;
- Vulnerabilidades de autenticação e sessão;
- Divulgação de informações sensíveis;
- Outras vulnerabilidades críticas de segurança;
Vulnerabilidades Fora de Escopo
As seguintes vulnerabilidades não são elegíveis para recompensa neste programa de bug bounty:
- DDoS (Negação de Serviço Distribuído);
- Spam;
- Ataques físicos;
- Vulnerabilidades em sistemas de terceiros não pertencentes à Kotas Plus;
Recompensas
As recompensas por relatórios válidos de segurança serão determinadas com base na gravidade e impacto da vulnerabilidade descoberta. Os valores de recompensa serão definidos pela equipe de segurança da informação do Kotas Plus e comunicados aos pesquisadores de segurança no momento da aceitação do relatório.
Processo de Relatório
Os pesquisadores de segurança são encorajados a relatar quaisquer vulnerabilidades descobertas de forma responsável e ética, seguindo as seguintes etapas:
- 1. Faça uma descrição detalhada da vulnerabilidade descoberta, incluindo informações técnicas relevantes;
- 2. Forneça instruções passo a passo para reproduzir a vulnerabilidade, se aplicável;
- 3. Envie o relatório de segurança para o e-mail [email protected]
Divulgação Responsável
O Kotas Plus está comprometido em trabalhar em estreita colaboração com pesquisadores de segurança para resolver e divulgar vulnerabilidades de maneira responsável. Ao relatar uma vulnerabilidade, os pesquisadores concordam em não divulgar publicamente informações sobre a vulnerabilidade até que uma correção adequada seja implementada.
Isenção de Responsabilidade
O Kotas Plus reserva-se o direito de encerrar ou modificar este programa de bug bounty a qualquer momento e sem aviso prévio. A participação neste programa não constitui qualquer forma de contrato ou garantia de pagamento.
Contato
Para qualquer dúvida ou esclarecimento adicional, entre em contato através do e-mail [email protected].