Compliance & Governança Corporativa EBANX

Política de Comunicação de Vulnerabilidade de Segurança

13 de setembro de 2023

A segurança da informação é levada muito a sério no EBANX, e é por isso que estamos comprometidos em aderir às melhores práticas do setor e regularmente passar pelo processo de auditorias internas e externas para garantir que somos capazes de proteger a nós mesmos, nossos comerciantes, parceiros e clientes de qualquer risco.

O EBANX também reconhece o impacto positivo que pesquisas na área de segurança podem ter em nossos serviços e o papel importante que a comunidade de segurança externa desempenha. É por isso que contamos com um programa de bug bounty externo. Hackaflag é um programa de bug bounty externo que permite pesquisadores a reportarem falhas de segurança no EBANX e empresas no seu sistema.

Cada vulnerabilidade relatada para o time de Cyber Security deve ser analisada quanto à validade e complexidade, e é emitida uma pontuação que reflete em uma recompensa.

Se apesar dos nossos esforços você acredita ter encontrado um problema de segurança nas nossas APIs, sistemas, plugins, SDKs, plataformas e/ou aplicações, por favor, se inscreva na hackaflag.com.br e forneça detalhes sobre a vulnerabilidade encontrada incluindo informações necessárias para reprodução e validação, uma Prova de Conceito (POC), e qualquer outra informação que você considere necessária para reproduzir ou para explicar o impacto da vulnerabilidade.

Além disso, pedimos explicitamente aos pesquisadores que se abstenham de fazer:

  • Qualquer coisa que possa degradar a disponibilidade dos nossos serviços (ex: ataques de negação de serviço);

  • Spamming;

  • Impersonation e outros ataques de engenharia social (incluindo phishing) para os nossos colaboradores, merchants, parceiros e/ou clientes;

  • Ataques de segurança física;

  • Violação da privacidade de dados;

  • Modificação de quaisquer dados;

  • Divulgar publicamente uma vulnerabilidade antes de termos a oportunidade de tratar o problema dentro de um período de tempo razoável;

  • Qualquer movimento lateral e pós-exploração após a exploração inicial.



Para reportar

Por favor, se inscreva na plataforma hackaflag e envie o seu relatório. Ao seguir as diretrizes acima, nos comprometemos a não tomar medidas legais contra você ou buscar o envolvimento de autoridades.