Programa de Divulgação Responsável.
A VRAXYS recebe relatos de segurança de pesquisadores, parceiros e usuários. Tratamos cada relato com seriedade e respondemos em tempo razoável.
Escopo
Vulnerabilidades em https://vraxys.com e em infraestrutura pública identificada como pertencente à VRAXYS. Excluem-se ataques de força bruta, engenharia social a colaboradores, DoS, e qualquer técnica que comprometa a privacidade de terceiros.
Regras
- Não execute teste destrutivo, exfiltração massiva ou ataque de denegação.
- Não acesse dados de terceiros além do mínimo necessário para demonstrar a vulnerabilidade.
- Dê tempo razoável para correção antes de divulgar publicamente.
- Respeite as leis aplicáveis. A VRAXYS não autoriza atos ilegais.
Como reportar
Envie o relato para security@vraxys.com. A chave PGP pública será disponibilizada em /security/pgp-key.txt antes da operação pública. Inclua: URL/endpoint afetado, passos de reprodução, impacto observado.
Compromisso de resposta
Acusamos recebimento em até 5 dias úteis. Triagem e comunicação de plano em até 15 dias úteis. Reconhecimento público opcional ao pesquisador, com seu consentimento.