Divulgação Responsável - SignDocs Brasil

A SignDocs Brasil agradece a comunidade de pesquisadores de segurança que contribui responsavelmente para a proteção da nossa plataforma e dos titulares de dados que processamos. Este documento descreve o escopo, as regras e as garantias do nosso programa de divulgação responsável.

1. Escopo

Vulnerabilidades em quaisquer dos seguintes recursos são elegíveis a reporte:

Domínios de produção: signdocs.com.br, app.signdocs.com.br, api.signdocs.com.br, verificador.signdocs.com.br, sign.signdocs.com.br, docs.signdocs.com.br
Aplicativos móveis oficiais (Android e iOS) publicados nas lojas oficiais
SDKs oficiais distribuídos via npm, PyPI, Go Modules, Maven Central, Packagist, NuGet
Node n8n oficial publicado no npm como n8n-nodes-signdocs-brasil
Webhooks e endpoints de OAuth2 da API B2B

2. Fora de escopo

SaaS de terceiros (Lovable, n8n Cloud, Telegram, Mailgun, etc.) — reportar diretamente ao fornecedor
Ataques de negação de serviço (DoS/DDoS) ao site institucional
Engenharia social contra colaboradores ou clientes
Vulnerabilidades em versões legadas de browsers ou sistemas operacionais não suportados
Falta de cabeçalhos de segurança ausentes que não levem a impacto demonstrável
Spam de formulário sem RCE ou exfiltração
Reportes automatizados de scanners sem PoC

3. Safe-Harbor

A SignDocs Brasil compromete-se a não tomar medidas legais contra pesquisadores que, agindo de boa-fé:

Façam testes apenas dentro do escopo definido na seção 1
Não acessem, modifiquem ou exfiltrem dados de outros titulares além do estritamente necessário para demonstrar a vulnerabilidade
Não usem técnicas destrutivas (DDoS, ransomware, deleção de dados) contra a infraestrutura
Reportem a vulnerabilidade exclusivamente pelo canal oficial antes de qualquer divulgação pública
Aguardem 90 dias após o reporte (ou prazo que combinarmos por escrito) antes de divulgar publicamente

4. Como reportar

Envie sua descoberta para security@signdocs.com.br. Para reportes contendo PoC sensível (credenciais expostas, dados pessoais, etc.), recomendamos cifrar com a nossa chave PGP pública.

Chave PGP pública: /pgp-key.asc

Identidade: SignDocs Brasil Security <security@signdocs.com.br>

Algoritmo: EdDSA (ed25519) + ECDH (cv25519)

Fingerprint: 1839 492C 8290 67C1 7CCA 216A 41DB 8741 AD3B 38EE

Importação rápida via gpg:

curl -s https://signdocs.com.br/pgp-key.asc | gpg --import
gpg --fingerprint security@signdocs.com.br
# Confirme que o fingerprint coincide com o publicado acima antes de cifrar.

Inclua, sempre que possível:

Descrição clara da vulnerabilidade e do impacto potencial
Passos detalhados para reprodução, com payloads quando aplicável
URLs, parâmetros e versões afetadas
Provas de conceito (capturas de tela, vídeo curto, transcript)
Seu nome ou alias (caso queira ser creditado no Hall of Fame)

5. Nosso compromisso de resposta

Confirmação de recebimento: em até 72 horas úteis
Triagem inicial: em até 7 dias corridos
Atualizações periódicas: a cada 14 dias até a remediação
Notificação de remediação: assim que o fix estiver em produção
Postmortem público em até 7 dias após a remediação para incidentes que tenham impacto a clientes > 1 hora — disponíveis em status.signdocs.com.br

6. Reconhecimento

O programa não oferece recompensas monetárias atualmente. Pesquisadores podem optar por ser citados publicamente no Hall of Fame em esta página após a remediação. Ofereceremos também:

Carta de reconhecimento formal, útil em portfólios e CVs
Crédito em CVE quando aplicável
Convite para early-access em novos produtos e funcionalidades

7. Hall of Fame

Em construção. Pesquisadores que reportarem vulnerabilidades relevantes a partir de 2026-04-28 e autorizarem a publicação serão listados aqui em ordem cronológica.

8. Conformidade legal

Este programa é compatível com o Marco Civil da Internet (Lei 12.965/2014), a Lei Geral de Proteção de Dados (Lei 13.709/2018) e o art. 154-A do Código Penal. Pesquisadores que sigam estritamente os termos desta política não serão considerados "agente que invade" para fins do art. 154-A, caput.

9. Atualizações

A versão vigente desta política é sempre a publicada nesta URL. O arquivo security.txt em /.well-known/security.txt e /security.txt é a fonte canônica de contatos atuais e tem expiração explícita conforme RFC 9116.