ATUALIZAÇÃO DO DOCUMENTO

Política deverá ser revista e atualizada ao menos anualmente, com vistas a se manter em sintonia com as regras de negócio, com as melhores práticas do mercado, leis, regulamentos e demais aspectos.

1. Objetivo

A Política Interna de Divulgação Responsável de Segurança tem o objetivo estabelecer diretrizes claras e transparentes para a divulgação de vulnerabilidades de segurança e informações relacionadas, garantindo a segurança cibernética do Grupo RecargaPay e de terceiros.

2. Abrangência

A Política Interna de Divulgação Responsável deverá ser cumprida por todos os colaboradores da área de Segurança Cibernética e demais áreas envolvidas no tema, bem como, observada pelos demais colaboradores e prestadores de serviço do Grupo RecargaPay, independentemente de estarem na estrutura física ou em ambiente remoto. 

3. Base Legal

O rol abaixo consiste na base normativa que não é exaustiva, mas referencia as normas internas e legislações aplicáveis que fundamentam a presente Política:

• Lei nº 13.709/2018 - Lei Geral de Proteção de Dados (LGPD);
• Política Corporativa de Segurança Cibernética;
• Política Corporativa de Privacidade e Tratamento de Dados;
• Política Externa de Privacidade e Tratamento de Dados - Usuários; e
• Procedimento de Atendimento e Resposta a Incidentes de Segurança da Informação.

4. Diretrizes de Divulgação Responsável   

O Grupo RecargaPay acredita que permitir que a comunidade de segurança trabalhe encontrando vulnerabilidades em nossos sistemas, de forma organizada e legal, nos auxiliará a manter nossos negócios e clientes mais seguros.

4.1. Divulgação Responsável

As vulnerabilidades não devem ser divulgadas publicamente até que a Companhia tenha tido a oportunidade de avaliar, mitigar e resolver o problema. Isso evita possíveis danos antes que as contramedidas sejam implementadas.

4.2. Divulgação Pública

A divulgação pública de vulnerabilidades ocorrerá após a resolução total do problema e a implementação das correções necessárias. A data de divulgação será coordenada entre as partes envolvidas.

4.3. Colaboração Aberta

O Grupo RecargaPay encoraja a divulgação responsável de vulnerabilidades de segurança por parte de pesquisadores de segurança externos. Valorizamos a contribuição da comunidade de segurança para melhorar nossos sistemas e produtos.

4.4. Divulgação Privada Inicial

Sempre que possível, fornecedores e pesquisadores de segurança são incentivados a relatar vulnerabilidades à nossa equipe de segurança de maneira privada e confidencial, permitindo que medidas corretivas sejam tomadas antes da divulgação pública.

4.5. Tempo de Resposta  

O Grupo RecargaPay se compromete a avaliar todas as vulnerabilidades reportadas de forma oportuna e a tomar as medidas necessárias para mitigar os riscos associados. O tempo estimado de resposta será comunicado aos envolvidos no momento da confirmação da vulnerabilidade.

4.6. Créditos e Reconhecimento

Os pesquisadores de segurança que reportarem vulnerabilidades de maneira responsável serão reconhecidos e creditados, a menos que expressem o desejo de permanecer anônimos. As formas de reconhecimento serão definidas em conjunto com o pesquisador, sendo necessária a aprovação interna das condições alinhadas pela área responsável.

4.7. Comunicação Transparente

A comunicação transparente e eficaz com os pesquisadores de segurança envolvidos durante todo o processo de identificação, mitigação e resolução de vulnerabilidades.

4.8. Plano de Teste

O Grupo RecargaPay permite apenas testes em produção. Para realizar testes em ambiente de produção de forma autenticada, é necessário que você crie uma conta informando diversos dados pessoais como qualquer outro cliente:

1. Em caso de localização de falha no sistema de cadastro e validação de dados conhecido como onboarding, os dados da conta falsa criada devem ser informadas imediatamente no e-mail: responsibledisclosure@recargapay.com;
2. As contas testes e em produção devem ser apenas internas. No caso das externas, os dados das contas devem ser reais; e
3. Não oferecemos contas categorizadas como de testes.

4.9. Regras do Programa

1. Em caso de vulnerabilidade que modifique uma informação ou parte do sistema que não deveria ser modificada, o pesquisador de segurança deve retornar os valores originais após retirar suas evidências e imediatamente informar à Companhia pelo e-mail: responsibledisclosure@recargapay.com para que possamos verificar a prioridade e tratá-la;
2. Dados do Grupo RecargaPay não devem ser vazados, adulterados ou destruídos; e
3. Usuários e o Grupo RecargaPay não deve ser defraudado em nenhuma hipótese, seja por ação ou permissividade na transação fraudulenta. 

4.10.  Transações

1. Contas de usuários comprometidas não devem ser utilizadas para transações financeiras (transferências de dinheiro, negociações de ações, etc);
2. O teste deverá ser interrompido imediatamente caso detecte lentidão ou indisponibilidade em nossos sistemas. O pesquisador de segurança deverá enviar um e-mail para cyber_responsible_disclosure@recargapay.com informando sobre a lentidão ou indisponibilidade e aguarde nosso retorno antes de continuar os seus testes;
3. Devem ser evitadas violações de privacidade, destruição, exclusão de dados, interrupção ou degradação de nosso serviço. O pesquisador deve apenas interagir com as contas que possui ou com a permissão explícita do titular da conta;
4. Não se deve abusar da vulnerabilidade encontrada como por exemplo, baixando os dados comprometidos, mesmo que seja para demonstrar o problema. As evidências das explorações devem constar apenas no documento de comunicação com a RecargaPay, devendo qualquer informação acessada ser descartada imediatamente;
5. Ataques à nossa segurança física, engenharia social, ataques de negação de serviço (DDoS), spam, phishing, vishing, smishing ou aplicativos/APIs de terceiros não devem ser realizados;
6. Testes não devem ser realizados em nenhum de nossos parceiros (bancos, empresas de cartão de crédito, empresas de crédito, etc.);
7. Informações suficientes devem ser fornecidas para que a Companhia possa reproduzir a falha e assim corrigi-la o mais rápido possível. Normalmente, o endereço IP ou URL/Path/Parâmetros do sistema afetado, uma descrição da vulnerabilidade em formato de passo a passo com evidências são suficientes, mas vulnerabilidades mais complexas podem ser necessárias mais informações;
8. Backdoors para comprovar uma vulnerabilidade não devem ser utilizados;
9. Informações confidenciais como printscreen, relatórios e documentos obtidos depois de evidenciar a vulnerabilidade devem ser apagadas de forma definitiva; e
10. Em caso de detecção de ocorrência de tentativas de realização de operações fraudulentas, o reporte deve ser feito no email para cyber_responsible_disclosure@recargapay.com.

4.11. Vulnerabilidade

É proibido compartilhar as vulnerabilidades encontradas no ambiente da RecargaPay. O report é tratado de forma confidencial e não compartilharemos suas informações pessoais com terceiros sem sua permissão, a menos que seja necessário cumprir uma obrigação legal.

4.12. Relatório de Vulnerabilidade

A divulgação de vulnerabilidades deve incluir detalhes suficientes para permitir à equipe de segurança entender e replicar o problema. Isso pode incluir descrição, evidências, contexto e etapas para reprodução.

4.13. Escopo

Delimitação de domínios, subdomínios aplicativos e outros:

5. Responsabilidades

No processo de divulgação responsável temos responsabilidades distribuídas para as áreas,

conforme descrição abaixo:

5.1. Pesquisadores de Segurança

1. Devem seguir os princípios de divulgação responsável; 
2. Relatar vulnerabilidades de maneira privada; e 
3. Colaborar com a equipe de segurança durante o processo de resolução.

5.2. Equipe de Segurança

1. Deve avaliar e responder a relatórios de vulnerabilidades de forma oportuna;
2. Coordenar a mitigação e a resolução das vulnerabilidades;e 
3. Garantir a comunicação eficaz com os pesquisadores de segurança.

5.3. Direção Executiva

1. Deve apoiar a implementação e o cumprimento desta Política; 
2. Alocar recursos necessários para a resolução de vulnerabilidades; e 
3. Garantir que a cultura de segurança seja promovida em toda a organização.

Todos os colaboradores ou prestadores de serviços possuem perfis de acesso às informações protegidas, definidos pelo Grupo RecargaPay, de acordo com seu cargo e atribuições. 

6. Vulnerabilidade de segurança

Identificado uma vulnerabilidade de segurança em qualquer produto RecargaPay, informar imediatamente de acordo com as diretrizes dispostas no item 5. 

Os pesquisadores de segurança, grupos do setor, fornecedores e outros usuários que não têm acesso ao suporte técnico devem enviar relatórios de vulnerabilidade diretamente ao Grupo RecargaPay pelo e-mail cyber_responsible_disclosure@recargapay.com. A identificação oportuna de vulnerabilidades de segurança é fundamental para mitigar riscos potenciais para nossos usuários.

Os usuários e parceiros de produtos do Grupo RecargaPay devem entrar em contato com suas respectivas equipes de suporte técnico para relatar quaisquer problemas de segurança descobertos nos produtos do Grupo RecargaPay. A equipe de suporte técnico, a equipe de produto apropriada e o Grupo RecargaPay trabalharão juntos para resolver o problema relatado e fornecer aos clientes as próximas etapas.

Ao relatar uma possível vulnerabilidade, inclua o máximo possível das informações para ajudar a entender melhor a natureza e o escopo do problema relatado:

6.1. Nome e versão do produto que contém a vulnerabilidade

1. Informações do ambiente ou do sistema sob as quais o problema foi reproduzido (por exemplo: endpoint, método utilizado, request completa e etc.);
2. Tipo e/ou classe de vulnerabilidade e qual o CVE associado;
3. Instruções passo a passo para reproduzir a vulnerabilidade;
4. Prova de conceito ou código de exploração; e
5. Impacto potencial da vulnerabilidade.

O Grupo RecargaPay preza por um bom relacionamento com os pesquisadores de segurança e, com a concordância deles, pode reconhecer o pesquisador por encontrar uma vulnerabilidade de produto válida e relatar o problema em particular. Em contrapartida, solicitamos que os pesquisadores nos dêem a oportunidade de corrigir a vulnerabilidade antes de divulgá-la publicamente. O Grupo RecargaPay acredita que coordenar a divulgação pública de uma vulnerabilidade é fundamental para proteger nossos usuários.

De acordo com esta Política, todas as informações divulgadas sobre vulnerabilidades devem permanecer entre o Grupo RecargaPay e a parte que relata — se as informações ainda não forem de conhecimento público — até que uma solução esteja disponível e as atividades de divulgação sejam coordenadas.

6.2. Correção de Vulnerabilidade

Depois de investigar e validar uma vulnerabilidade relatada, tentaremos desenvolver e qualificar a solução apropriada para produtos com suporte ativo do Grupo RecargaPay. Um recurso pode assumir uma ou mais das seguintes formas:

6.3. Uma nova versão do produto afetado pelo Grupo RecargaPay

1. Devem haver instruções e o que mais for necessário para mitigar a vulnerabilidade; e
2. Deve ser realizada a publicação de procedimento corretivo ou solução alternativa pelo Grupo RecargaPay para instruir os usuários sobre como proceder para eliminar a vulnerabilidade.

O Grupo RecargaPay deve proceder com todos os esforços para fornecer o remédio ou ação corretiva no menor tempo razoável. Os prazos de resposta dependem de muitos fatores, como gravidade, impacto, complexidade do remédio, componente afetado (por exemplo, algumas atualizações exigem ciclos de validação mais longos ou só podem ser atualizadas em uma versão principal) e status das operações comerciais, entre outros.

6.4. Avaliações de impacto e gravidade

O Grupo RecargaPay atualmente usa a pontuação CVSS do MITRE para classificar as vulnerabilidades. Muitos fatores, incluindo o nível de esforço necessário para explorar uma vulnerabilidade, bem como o impacto potencial nos dados ou nas atividades de negócios de uma exploração bem-sucedida, são levados em consideração.

O impacto geral de um comunicado de segurança é uma representação textual da gravidade (isto é, critica, alta, média e baixa) que segue a Escala de Classificação de Gravidade Qualitativa de Gravidade CVSS para a Pontuação Base CVSS mais alta de todas as vulnerabilidades identificadas. 

Quando e onde aplicável, o Grupo RecargaPay fornecerá um impacto geral para o comunicado e para cada vulnerabilidade identificada a pontuação básica do CVSS v3.1 e o vetor CVSS v3.1 correspondente. 

O Grupo RecargaPay recomenda que todos os usuários levem em consideração a pontuação básica e quaisquer métricas temporais e/ou ambientais que possam ser relevantes para seu ambiente para avaliar seu risco geral.

6.5. Comunicação de Remediação

Normalmente, se aplicável, as soluções são comunicadas aos usuários por meio do e-mail: responsibledisclosure@recargapay.com. Para proteger nossos usuários, o Grupo RecargaPay se esforça para lançar um comunicado de segurança assim que a solução para os produtos afetados estiver disponível. 

O Grupo RecargaPay pode lançar avisos de segurança mais cedo para responder adequadamente a divulgações públicas ou vulnerabilidades amplamente conhecidas nos componentes usados em nossos produtos.

7. Privacidade 

O informe sobre o tratamento das vulnerabilidades reportadas depende de informações solicitadas pela Companhia, como nome, e-mail e, se necessário, telefone, com a exceção de registros anônimos, em que a identidade será preservada.  

As informações de contato serão usadas apenas para mantê-lo informado sobre o processo de divulgação de vulnerabilidades e não serão repassadas a terceiros sem sua permissão explícita, em compartilhando seu PII (Personally Identifiable Information, Informação Pessoal Identificável, em tradução livre) com terceiros; e compartilhar sua pesquisa sem permissão.

Ao se submeter às regras dessa Política, deve-se concordar em não divulgar publicamente descobertas ou o conteúdo da vulnerabilidade encontrada em terceiros, sem o expresso consentimento do Grupo RecargaPay.