Pular para o conteúdo principal
satooB

Política de segurança

Última atualização: 6 de maio de 2026Data de entrada em vigor: Mediante aceitação

Levamos a sério a segurança dos nossos utilizadores e da nossa infraestrutura e acolhemos os relatos de investigadores de segurança independentes que ajam de boa-fé. A presente política descreve como recebemos, triamos e respondemos aos relatos de vulnerabilidades, bem como o que esperamos em troca dos investigadores.

Uma versão legível por máquina dos contactos abaixo é publicada, em conformidade com a RFC 9116, em /.well-known/security.txt.

1. O nosso compromisso

Comprometemo-nos a :

  • disponibilizar um canal claro e monitorizado para os relatos de vulnerabilidades ;
  • acusar a receção dos relatos prontamente e tratá-los com cuidado ;
  • coordenar os calendários de divulgação de forma transparente ;
  • não instaurar ações legais contra investigadores que cumpram esta política ;
  • reconhecer os investigadores na nossa Hall of Fame (mediante pedido).

2. Âmbito

Dentro do âmbito :

  • A plataforma satooB — satoob.com e qualquer subdomínio operado pela Konatamo LLC, incluindo o sítio Web público de marketing, os painéis, o portal caixa do Comerciante, as superfícies de quiosque em loja e as páginas públicas de aterragem para Vales, cashback e Quests.
  • As APIs públicas e webhooks da satooB documentados em /api/* e as server actions equivalentes expostas pela plataforma.
  • Os repositórios de código-fonte sob a organização Konatamo no GitHub (satoob e quaisquer outros repositórios públicos, quando publicados).

Fora do âmbito :

  • Os serviços de terceiros dos quais dependemos mas que não controlamos (Vercel, Supabase, Stripe, Cloudflare, Resend, PostHog, Mercury Bank, Hostinger, Google Workspace). Por favor, comunique vulnerabilidades desses serviços diretamente às equipas de segurança dos respetivos fornecedores.
  • Ataques volumétricos (negação de serviço, negação de serviço distribuída, inundação de camada 7).
  • Engenharia social dirigida ao pessoal, parceiros ou clientes da Konatamo LLC.
  • Ataques físicos contra os nossos escritórios ou instalações dos nossos fornecedores.
  • Relatos de cabeçalhos de segurança em falta, limites de débito em falta ou configurações TLS em falta que não tenham impacto explorável sobre os dados do utilizador, a integridade da conta ou a disponibilidade da plataforma.

3. Como reportar

Por favor, escreva para security@satoob.com indicando :

  1. Uma descrição clara da vulnerabilidade, incluindo o endpoint ou componente afetado.
  2. Passos de reprodução — concretos, com uma proof-of-concept minimalista sempre que possível.
  3. O impacto que estima (confidencialidade / integridade / disponibilidade) e uma severidade sugerida (Crítica / Alta / Média / Baixa).
  4. Os seus contactos e qualquer pseudónimo que queira que utilizemos caso o reconheçamos na Hall of Fame.

Uma chave PGP para relatos cifrados poderá ser publicada no futuro em /.well-known/pgp-key.txt ; até lá, evite incluir detalhes brutos de exploit em e-mails não cifrados.

4. A nossa resposta

Quando recebemos um relato :

  • No prazo de cinco (5) dias úteis — acusamos a receção do seu relato.
  • No prazo de quinze (15) dias úteis — fornecemos uma triagem inicial, incluindo uma avaliação preliminar da severidade e quaisquer questões de clarificação.
  • No prazo de noventa (90) dias — procuramos resolver a vulnerabilidade, implementar a correção e confirmar consigo o encerramento do caso. Quando a correção exigir mais tempo (dependências de terceiros, alteração arquitetural não trivial), mantê-lo-emos informado do progresso.

5. Safe harbor

A Konatamo LLC não instaurará nem apoiará qualquer ação legal contra si por investigação de segurança realizada de boa-fé e em conformidade com esta política, incluindo (sem limitação) :

  • Aceder apenas aos sistemas dentro do âmbito e apenas aos dados mínimos necessários para demonstrar a vulnerabilidade.
  • Abster-se de qualquer ação que possa afetar outros utilizadores (por exemplo, testes de negação de serviço em produção, escalada de privilégios que se propague para tenants não relacionados, exfiltração de mais dados do que o necessário para demonstrar o problema).
  • Abster-se da divulgação pública da vulnerabilidade antes de termos tido uma oportunidade razoável para a remediar.
  • Devolver, destruir ou abster-se de divulgar quaisquer dados acedidos durante a investigação.

Caso tenha dúvidas se uma determinada abordagem de teste se enquadra no safe harbor, contacte-nos previamente em security@satoob.com.

6. Programa de recompensas

Não operamos atualmente um programa de bug bounty remunerado. Poderemos considerar um no futuro ; entretanto :

  • Reconhecimento — os relatos significativos podem ser creditados na nossa Hall of Fame (Secção 7) a pedido do investigador.
  • Merchandising e créditos — quando um relato conduz a uma melhoria significativa da plataforma, podemos a nosso critério oferecer merchandising da Konatamo, créditos em satoPOINTS ou uma carta pública de reconhecimento.
  • Divulgação coordenada — teremos todo o gosto em coassinar uma publicação de divulgação com o investigador após a implementação da correção.

7. Hall of Fame

Mantemos esta secção para reconhecer publicamente os investigadores cujas divulgações responsáveis melhoraram a segurança da plataforma satooB. A lista abaixo está atualmente vazia — aguardamos com expectativa creditá-lo em breve.

8. Contacto

Endereço postal (para citações judiciais) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.