Compromisso com a Segurança da Nuuvem
Na Nuuvem, a segurança é a espinha dorsal do nosso compromisso com clientes e parceiros. Entendemos que a confiança é a moeda mais valiosa no mundo digital. Por isso, adotamos uma abordagem proativa e meticulosa em relação à segurança, implementando as melhores práticas do mercado em todos os aspectos do nosso negócio.
Desde o desenvolvimento inicial dos nossos sistemas até a manutenção contínua da nossa infraestrutura, cada etapa é guiada por protocolos de segurança rigorosos. Nossos desenvolvedores são treinados nas últimas técnicas de codificação segura, e nossos sistemas são construídos para serem resilientes contra as ameaças mais recentes. Empregamos testes de segurança contínuos e revisões de código para garantir que as vulnerabilidades sejam identificadas e corrigidas rapidamente.
A hospedagem dos nossos sistemas é feita em ambientes que cumprem com os mais altos padrões de segurança, assegurando que a integridade e a disponibilidade dos dados dos nossos clientes sejam preservadas. Nossa infraestrutura é desenhada para ser robusta e segura, com redundâncias e proteções em camadas para defender contra uma variedade de vetores de ataque.
Entretanto, sabemos que a segurança é um processo contínuo e que a inovação constante é necessária para manter a defesa contra agentes maliciosos. É por isso que estamos orgulhosos de apresentar o nosso Programa de Bug Bounty, uma extensão do nosso compromisso com a segurança, onde convidamos pesquisadores e especialistas a colaborar conosco na identificação e resolução de potenciais vulnerabilidades.
Juntos, continuaremos a cultivar um ambiente onde nossos clientes podem comprar e jogar com tranquilidade, sabendo que sua segurança é nossa prioridade máxima.
Programa de Bug Bounty da Nuuvem
Sabemos que, apesar dos nossos esforços contínuos para garantir a integridade dos nossos sistemas, nenhuma segurança é infalível. É por isso que estamos lançando o nosso Programa de Bug Bounty - uma iniciativa que visa fortalecer ainda mais a nossa segurança digital através da colaboração com a comunidade de pesquisadores de segurança e programadores.
Estamos entusiasmados em convidar pesquisadores e programadores a participar do nosso Programa de Bug Bounty, projetado para identificar e corrigir vulnerabilidades que possam afetar a segurança e a privacidade dos nossos usuários.
Como Funciona
Nosso programa recompensa pesquisadores e programadores que identificam e reportam, de maneira responsável, vulnerabilidades em nossos sistemas. Se você encontrar uma falha de segurança em nossos sistemas, queremos ouvir sobre ela para que possamos agir rapidamente para corrigir o problema.
Ao enviar a sua informação sobre a falha de segurança e a sugestão de correção, você está concordando em repassar para a Nuuvem o direito de fazer uso da informação e da correção. A contraprestação financeira decorrente desse direito de fazer uso é a recompensa que será paga para você conforme esta política.
Sistemas elegíveis
É importante destacar que o Programa de Bug Bounty da Nuuvem é focado exclusivamente em sistemas internamente desenvolvidos pela empresa. No caso de sistemas da Nuuvem disponíveis via Internet, estarão disponibilizados nos seguintes domínios:
- nuuvem.com
- nuuvem.com.br
- nuuvem.co
- nuuvem.host
- nuuvem.dev
- nuuvem.net
- nuuvem.games
- nuuvem.io
- n-arcade.io
Recompensas poderão ser oferecidas apenas por vulnerabilidades identificadas nestes sistemas. No entanto, valorizamos a segurança de todos os sistemas operados por nós, incluindo aqueles de terceiros ou open source. Agradecemos a comunidade por reportar quaisquer falhas encontradas e nos comprometemos a encaminhar essas informações às partes relevantes para que as devidas medidas sejam tomadas. A colaboração de todos é fundamental para mantermos um ambiente digital seguro.
Vulnerabilidades em softwares dos jogos eletrônicos que são comercializados por meio das plataformas da Nuuvem não fazem parte do escopo do Programa de Bug Bounty. Essas vulnerabilidades envolvem softwares que são de propriedade das Publishers e, por essa razão, não estão incluídos neste programa de recompensas.
As falhas de segurança informadas por pessoas diferentes darão o direito de recompensa para a pessoa que, em primeiro lugar, tenha informado a Nuuvem sobre a falha de segurança.
Recompensas
Entendemos que a descoberta de vulnerabilidades requer um conjunto de habilidades especializado e um investimento significativo de tempo e esforço. Por isso, oferecemos um sistema de recompensas com diferentes níveis, baseado na severidade e no impacto da vulnerabilidade reportada.
Após a validação da vulnerabilidade pelo nosso time de segurança, determinaremos o valor da recompensa com base em critérios como impacto, facilidade de exploração e qualidade e detalhamento do relatório fornecido.
Os níveis de recompensa são os seguintes:
1. Crítico (Critical): Vulnerabilidades que permitem execução remota de código, acesso a dados sensíveis do sistema ou que afetam diretamente a integridade e disponibilidade dos nossos serviços.
- Recompensa: $1500 - $5000 USD
2. Alto (High): Problemas que afetam a segurança dos nossos sistemas de maneiras significativas, mas que não se enquadram na categoria crítica, como escalonamento de privilégios locais ou falhas de segurança em processos de autenticação.
- Recompensa: $600 - $1499 USD
3. Médio (Medium): Vulnerabilidades que requerem interação do usuário para serem exploradas ou que têm um impacto moderado na confidencialidade, integridade ou disponibilidade dos nossos serviços.
- Recompensa: $300 - $599 USD
4. Baixo (Low): Questões que têm um impacto limitado e são menos severas, tais como vazamentos de informações que afetam poucos usuários ou problemas que requerem complexas interações para serem explorados.
- Recompensa: $100 - $299 USD
5. Informativo (Informative): Relatórios que fornecem informações úteis, mas que não representam uma vulnerabilidade direta ou uma ameaça imediata à segurança. Essas descobertas são valiosas para melhorias futuras.
- Recompensa: Reconhecimento ou recompensas não monetárias (por exemplo, agradecimentos, brindes da empresa, etc.)
É importante ressaltar que os valores acima são montantes brutos. Isso significa que, antes do pagamento ser efetuado ao destinatário, podem ser aplicados descontos relativos a taxas e/ou impostos conforme exigido pela legislação vigente ou pelas políticas da instituição pagadora. Portanto, o valor líquido recebido pode ser menor que o valor bruto originalmente divulgado, uma vez que será ajustado para refletir essas deduções obrigatórias. Recomenda-se que os beneficiários se informem sobre as possíveis retenções aplicáveis para ter uma expectativa precisa do valor que efetivamente receberão.
Por favor, note também que nem todas as vulnerabilidades reportadas serão elegíveis para uma recompensa monetária. A elegibilidade e o nível da recompensa são determinados pela nossa equipe de segurança com base na severidade, impacto e originalidade do relatório. Vulnerabilidades previamente conhecidas, duplicadas ou que não têm um impacto significativo podem não receber uma recompensa monetária, mas ainda assim valorizamos e agradecemos todos os relatórios submetidos.
Sem prejuízo do que explicamos no item Opções de Pagamento para Recompensas abaixo (e das opções para recebimento das recompensas que mencionamos), passamos a explicar os critérios para pagamento em dólares, reais ou na moeda local do país onde reside o beneficiário.
Os valores expressos em dólares serão pagos para os beneficiários residentes no Brasil através da sua conversão para o Real, conforme a cotação vigente na data do pagamento.
Os valores serão pagos em dólares para benefícios localizados nos Estados Unidos ou em países que aceitem o dólar americano como moeda de pagamento.
Para beneficiários localizados no exterior, em países onde o dólar americano não é uma moeda aceita, a Nuuvem fará uma transferência em dólares para o beneficiário, cabendo a conversão e recebimento na moeda local conforme o permitido no país do beneficiário e prática da instituição financeira escolhida.
Nota Importante: A decisão final sobre a classificação da vulnerabilidade e a recompensa concedida fica a critério exclusivo da Nuuvem. Reservamo-nos o direito de decidir se um relatório é qualificado para uma recompensa e, se for, qual nível de recompensa é apropriado.
Opções de Pagamento para Recompensas
Para garantir que o processo de recompensa seja tão eficiente e gratificante quanto possível, estabelecemos métodos de pagamento flexíveis para aqueles que relatam vulnerabilidades com sucesso.
As recompensas por relatórios de vulnerabilidades aceitos são pagas da seguinte forma:
1. Transferência Bancária Internacional: Para aqueles que preferem uma transação direta, oferecemos pagamentos via transferência bancária internacional. Esta opção permite que a recompensa seja depositada diretamente na conta bancária do pesquisador, independentemente da sua localização no mundo.
Nota Importante: Este tipo de pagamento está sujeito à nossa capacidade de operar dentro dos parâmetros fiscais, legais e operacionais estabelecidos por cada país ou região. Embora, em geral, possamos atender à grande maioria dos países e territórios, existem casos em que restrições podem nos impedir de efetuar tais transferências. Se você tem dúvidas sobre a possibilidade de receber pagamentos em seu local de residência, por favor, entre em contato conosco para verificar a viabilidade.
2. PayPal: Reconhecendo a conveniência e a abrangência do PayPal, também fornecemos a opção de receber pagamentos através deste serviço. É uma alternativa segura e confiável para transferências internacionais de dinheiro.
Nota Importante: De maneira similar às transferências bancárias, este tipo de pagamento também está sujeito à nossa capacidade de operação fiscal, legal e operacional e também aos limites de uso do PayPal. Novamente, em caso de dúvidas, entre em contato conosco.
Além destas opções monetárias, oferecemos uma alternativa atraente para aqueles que são entusiastas do nosso e-commerce:
3. Créditos ou Cupons de Desconto: Se o pesquisador assim escolher, ele pode optar por receber o valor da recompensa em créditos ou cupons de desconto para serem utilizados em compras na nossa loja. Como um bônus adicional, aumentaremos o valor da recompensa em 50% quando esta for escolhida como forma de pagamento. Por exemplo, se a recompensa em dinheiro for de $1000 USD, o pesquisador poderá optar por receber $1500 USD em créditos ou cupons de desconto.
Essas opções de recompensa são projetadas para acomodar as preferências pessoais dos contribuidores do nosso Programa de Bug Bounty, e esperamos que incentivem uma participação ainda maior na melhoria contínua da segurança da Nuuvem.
Requerimentos para Pagamento de Recompensas
Para que possamos processar o pagamento de recompensas, é imprescindível que o destinatário da recompensa forneça suas informações pessoais que são necessárias para atender às exigências fiscais regulatórias dos países onde operamos. Dados como nome completo, endereço, número de identificação fiscal, e detalhes bancários são alguns exemplos de informações que podem ser requeridas para a conclusão da transação. Salientamos que não é possível realizar pagamentos de maneira anônima, pois precisamos assegurar a transparência e a conformidade com as regulamentações pertinentes. A segurança e a privacidade dos dados fornecidos serão rigorosamente preservadas em conformidade com as leis de proteção de dados aplicáveis. Em caso de dúvidas sobre o processo ou quais dados são necessários, não hesite em nos contatar.
Uso Aceitável
Ao participar do nosso programa, você concorda em:
- Não comprometer a privacidade de nossos clientes ou os dados dos nossos sistemas.
- Não interromper ou degradar os nossos serviços.
- Não explorar comercialmente ou para benefício próprio as vulnerabilidades encontradas.
- Não explorar as vulnerabilidades encontradas além do que for estritamente necessário para o trabalho de pesquisa e divulgação responsável.
- Manter as vulnerabilidades confidenciais até que sejam resolvidas. Não exponha a vulnerabilidade publicamente antes de nos dar um tempo razoável para resolvê-la.
- Seguir as leis aplicáveis e boas práticas éticas durante sua pesquisa.
Como Reportar Vulnerabilidades
Para reportar uma vulnerabilidade, por favor, envie um e-mail para security@nuuvem.com com as seguintes informações:
- Descrição detalhada da vulnerabilidade encontrada, incluindo o local e como ela pode ser explorada.
- Passos reprodutíveis que demonstram a vulnerabilidade (provas de conceito, capturas de tela e vídeos são bem-vindos).
- Seu contato e informações para retorno, incluindo nome, afiliação (se aplicável) e país.
- Qualquer outra informação relevante que possa nos ajudar a entender melhor o escopo do problema.
Caso encontre múltiplas vulnerabilidades, por favor envie um e-mail separado para cada vulnerabilidade encontrada. Cada vulnerabilidade enviada será analisada de forma independente, e potencialmente cada uma poderá ser recompensada também.
Política de Divulgação Responsável
Pedimos que todos os pesquisadores sigam nossa política de divulgação responsável, o que significa:
- Não compartilhar informações sobre a vulnerabilidade com terceiros até que ela seja resolvida.
- Dar à Nuuvem um tempo razoável para corrigir a vulnerabilidade antes de discuti-la publicamente, geralmente 90 dias após o relatório.
Agradecimentos
Agradecemos sua contribuição para a segurança da Nuuvem e esperamos trabalhar juntos para criar um ambiente digital mais seguro para todos.
Contato
Para questões não relacionadas ao reporte de vulnerabilidades, por favor, entre em contato conosco através do endereço de e-mail support@nuuvem.com.
Nota Legal
A Nuuvem se reserva o direito de modificar os termos deste programa ou encerrá-lo a qualquer momento. Participantes do programa devem agir de boa fé e não serão sujeitos a ações legais se seguirem as regras estabelecidas aqui, mas a Nuuvem se opõe firmemente a qualquer ação que possa resultar em danos aos nossos usuários, operações ou reputação.