EntrarFalar com especialistas

Política de Divulgação Responsável

Define como pesquisadores de segurança podem reportar vulnerabilidades à NEXEFII de forma responsável, o compromisso de porto seguro para pesquisa de boa-fé, o que não é permitido e como o reporte é tratado.

Versão
2026.2
Última atualização
2026-07-11

Escopo

Esta política aplica-se aos serviços e superfícies oficiais da NEXEFII, incluindo NEXE Store, Master Control e Smartbot, quando operados sob controle da NEXEFII.

Não estão em escopo sistemas de terceiros, integrações operadas por outros fornecedores ou ambientes de clientes fora do controle direto da NEXEFII.

Porto seguro para pesquisa de boa-fé

A NEXEFII apoia a pesquisa de segurança conduzida de boa-fé. Se você seguir esta política, agir de forma responsável e não causar dano nem acessar dados além do mínimo necessário para demonstrar uma vulnerabilidade, a NEXEFII pretende tratar essa pesquisa como autorizada e de boa-fé, e não como conduta hostil.

Este compromisso de porto seguro está sujeito à revisão jurídica final e não substitui obrigações legais aplicáveis nem direitos de terceiros.

O que NÃO fazer

Para preservar a segurança de usuários e dados, os pesquisadores NÃO devem, entre outras condutas:

  • Executar ataques de negação de serviço (DoS/DDoS) ou testes de carga que degradem o serviço.
  • Exfiltrar, copiar, reter ou publicar dados de clientes, dados pessoais ou credenciais.
  • Acessar, modificar ou destruir contas ou dados que não sejam seus.
  • Violar a privacidade de usuários ou explorar uma vulnerabilidade além do mínimo necessário para demonstrá-la.
  • Usar engenharia social, phishing contra funcionários, ou ataques físicos.

Como reportar

Reporte vulnerabilidades para contact@nexefii.com. Inclua descrição clara, passos de reprodução, impacto potencial e quaisquer artefatos de prova de conceito estritamente necessários — sem incluir dados pessoais de terceiros.

Pedimos que você conceda tempo razoável para investigação e correção antes de qualquer divulgação pública, e que não divulgue detalhes que possam colocar usuários em risco.

Como o reporte é tratado

A equipe de segurança da NEXEFII pretende confirmar o recebimento, triar o reporte, avaliar o impacto e conduzir a correção conforme a gravidade. Poderemos entrar em contato para esclarecimentos.

Não divulgamos regras internas de detecção, indicadores de monitoramento ou detalhes operacionais que possam facilitar abuso. A ausência desses detalhes nesta política é intencional.

Recompensas

Esta política não promete recompensa financeira (bug bounty). Qualquer programa de recompensa, se e quando existir, e seus termos, serão descritos separadamente. Não presuma elegibilidade a pagamento pelo simples envio de um reporte.

Não autorização para atacar terceiros

Esta política não autoriza qualquer atividade contra sistemas de terceiros, subprocessadores, provedores de infraestrutura ou ambientes de clientes. Testar tais sistemas sem autorização própria e específica pode ser ilegal e não é coberto por esta política.

Versão e vigência

Versão 2026.1. Última atualização em 2026-07-11. Data de vigência pendente de publicação após revisão jurídica e de segurança.