Política de Segurança

No StudioFlow, a segurança da nossa plataforma e a proteção dos dados dos nossos usuários são prioridades máximas. Valorizamos e incentivamos a divulgação responsável de vulnerabilidades de segurança por parte da comunidade de pesquisadores.

Esta política descreve como reportar vulnerabilidades e o que você pode esperar em retorno.

Esta política se aplica aos seguintes ativos:

• studio-flow.net — A aplicação web principal do StudioFlow.
• Endpoints de API — Todas as rotas de API servidas em studio-flow.net/api/*.

Se você acredita ter encontrado uma vulnerabilidade de segurança no StudioFlow, por favor reporte enviando um e-mail para:

Por favor, inclua as seguintes informações no seu relatório:

• Uma descrição clara da vulnerabilidade e seu potencial impacto.
• Passos detalhados para reproduzir o problema.
• Capturas de tela, logs ou código de prova de conceito relevantes.
• Suas informações de contato preferidas para acompanhamento.

Quando você reportar uma vulnerabilidade de boa-fé, nos comprometemos a:

• Confirmação: Confirmaremos o recebimento do seu relatório em até 72 horas.
• Comunicação: Manteremos você informado sobre o progresso da investigação.
• Resolução: Trabalharemos para resolver vulnerabilidades confirmadas o mais rápido possível.
• Crédito: Com sua permissão, daremos crédito público pela descoberta.

Nosso compromisso de prazo para tratamento de vulnerabilidades reportadas:

• Confirmação de recebimento: Até 72 horas após o envio do relatório.
• Triagem inicial: Até 7 dias úteis para avaliar a severidade e o impacto.
• Correção: Até 90 dias para vulnerabilidades confirmadas, conforme a complexidade.
• Divulgação pública: Coordenada com o pesquisador após a correção ser implantada.

Consideramos a pesquisa de segurança conduzida de acordo com esta política como autorizada. Não tomaremos ações legais contra pesquisadores que:

• Ajam de boa-fé e sigam esta política.
• Evitem acessar, modificar ou excluir dados que não lhes pertençam.
• Não degradem o desempenho ou a disponibilidade dos serviços do StudioFlow.
• Não divulguem publicamente a vulnerabilidade antes que tenhamos tido uma oportunidade razoável de corrigi-la.

Os seguintes tipos de problemas são geralmente considerados fora do escopo:

• Ataques de engenharia social (ex: phishing).
• Ataques de negação de serviço (DoS/DDoS).
• Problemas em serviços ou integrações de terceiros (ex: Stripe, Supabase, Cloudflare) que não sejam causados pela implementação do StudioFlow.
• Relatórios de scanners automatizados sem uma prova de conceito validada.
• Headers de segurança ausentes que não levem a um exploit demonstrável.

Para questões relacionadas à segurança, entre em contato conosco pelo e-mail: lucassampaiodegois1@gmail.com.

Para a versão legível por máquina desta política, consulte nosso arquivo security.txt.