Política de Segurança
Última atualização: 2026-05-13
Levamos a segurança a sério. Esta política detalha como reportar uma vulnerabilidade, o que prometemos em troca e o que está no escopo. Os metadados canônicos para pesquisadores de segurança também residem em /.well-known/security.txt (RFC 9116).
1. Como reportar
Envie um e-mail para [email protected] - chave PGP sob solicitação - ou abra um relatório privado em https://hackerone.com/elido. Ambas as rotas chegam à mesma fila de plantão. Por favor, inclua os passos de reprodução, o URL/endpoint afetado e o impacto observado. Não publique detalhes publicamente até que tenhamos coordenado uma correção.
2. SLA de Resposta
Primeira resposta: em até 24 horas. Triagem com uma classificação de severidade: em até 5 dias úteis. Meta de resolução: 14 dias para High/Critical, 30 dias para Medium/Low. Se uma correção precisar de mais tempo (ex: espera por dependência de terceiros), manteremos você atualizado semanalmente.
3. No escopo
elido.app (marketing), app.elido.app (dashboard), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (camadas de redirecionamento), docs.elido.app, os aplicativos iOS e Android do Elido, os pacotes npm elidoapp/elido-* e o servidor Elido MCP (packages/mcp-server).
4. Fora de escopo
Serviços de terceiros que usamos (a nossa camada de autenticação e provedor de identidade, o nosso provedor de chat de suporte, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - por favor, reporte diretamente a eles. Ataques de força bruta em endpoints com limite de taxa (nós mesmos os testamos). Engenharia social com a equipe do Elido. Ataques volumétricos / DoS. Descobertas que dependem da instalação de software malicioso pela vítima fora do Elido. Redirecionamento aberto via o próprio link curto - esse é o serviço.
5. Porto seguro
Se você fizer um esforço de boa-fé para cumprir esta política, não tomaremos medidas legais e trabalharemos com você para entender e resolver o problema. Especificamente: testar contra contas que você possui, não exfiltrar dados de produção, não impactar outros clientes e não divulgar publicamente antes de termos lançado uma correção.
6. Recompensas
O Elido mantém um programa de bug bounty pago no HackerOne. Recompensas indicativas (USD): Critical $3000, High $1500, Medium $500, Low $200, Trivial equivalente a $50 em brindes (swag). O valor final depende do impacto, originalidade e qualidade do relatório. Também listamos divulgações válidas não pagas em /legal/security-acknowledgments com seu consentimento.
7. Agradecimentos
Creditamos publicamente os pesquisadores que nos ajudam em /legal/security-acknowledgments - handle ou nome real à sua escolha, e somente após o problema ser corrigido.