Kotas Plus Bug Bounty

Objetivo

O objetivo deste programa de bug bounty é incentivar e recompensar a descoberta responsável de vulnerabilidades em nossa plataforma. Ao receber relatórios de segurança de pesquisadores externos, esperamos melhorar continuamente a segurança de nossos produtos e proteger nossos usuários.

Note que este programa de recompensas se destina exclusivamente a relatórios de segurança relacionados a vulnerabilidades técnicas. Relatórios sobre problemas de usabilidade, sugestões de melhoria ou outros feedbacks não estão incluídos neste programa.

Escopo

Este programa de bug bounty se aplica a todos os sistemas e propriedades digitais pertencentes à Kotas, incluindo, mas não se limitando a:

  • WebSite Principal ( kotasplus.com.br );
  • APIs Públicas;
  • Serviços Web;
  • Outros sistemas internos e externos utilizados pela empresa.

Vulnerabilidades Elegíveis

Aceitamos relatórios de segurança sobre uma ampla gama de vulnerabilidades, incluindo, mas não se limitando a:

  • Cross-site scripting (XSS);
  • Injeção de SQL;
  • Cross-site request forgery (CSRF);
  • Execução remota de código (RCE);
  • Escalada de privilégios;
  • Vulnerabilidades de autenticação e sessão;
  • Divulgação de informações sensíveis;
  • Outras vulnerabilidades críticas de segurança;

Vulnerabilidades Fora de Escopo

As seguintes vulnerabilidades não são elegíveis para recompensa neste programa de bug bounty:

  • DDoS (Negação de Serviço Distribuído);
  • Spam;
  • Ataques físicos;
  • Vulnerabilidades em sistemas de terceiros não pertencentes à Kotas Plus;

Recompensas

As recompensas por relatórios válidos de segurança serão determinadas com base na gravidade e impacto da vulnerabilidade descoberta. Os valores de recompensa serão definidos pela equipe de segurança da informação do Kotas Plus e comunicados aos pesquisadores de segurança no momento da aceitação do relatório.

Processo de Relatório

Os pesquisadores de segurança são encorajados a relatar quaisquer vulnerabilidades descobertas de forma responsável e ética, seguindo as seguintes etapas:

  1. 1. Faça uma descrição detalhada da vulnerabilidade descoberta, incluindo informações técnicas relevantes;
  2. 2. Forneça instruções passo a passo para reproduzir a vulnerabilidade, se aplicável;
  3. 3. Envie o relatório de segurança para o e-mail [email protected]

Divulgação Responsável

O Kotas Plus está comprometido em trabalhar em estreita colaboração com pesquisadores de segurança para resolver e divulgar vulnerabilidades de maneira responsável. Ao relatar uma vulnerabilidade, os pesquisadores concordam em não divulgar publicamente informações sobre a vulnerabilidade até que uma correção adequada seja implementada.

Isenção de Responsabilidade

O Kotas Plus reserva-se o direito de encerrar ou modificar este programa de bug bounty a qualquer momento e sem aviso prévio. A participação neste programa não constitui qualquer forma de contrato ou garantia de pagamento.

Contato

Para qualquer dúvida ou esclarecimento adicional, entre em contato através do e-mail [email protected].