BrasMedia · Segurança

Segurança e Divulgação Responsável da BrasMedia

Resumo corporativo de postura de segurança e orientações para divulgação coordenada de vulnerabilidades no ecossistema BrasMedia.

Esta página explica como a BrasMedia aborda a governança corporativa de segurança em suas propriedades públicas e como pesquisadores, clientes e parceiros devem encaminhar relatos de divulgação responsável.

Escopo desta página

Esta página é uma declaração pública de segurança e um guia de divulgação coordenada. Ela se aplica a sites públicos, propriedades documentais e demais superfícies de produto ou extensão da BrasMedia, salvo quando obrigação mais específica já estiver documentada em contrato ou material de implantação aplicável.

Esta página não cria programa público de bug bounty, prazo fixo de correção, canal garantido de suporte nem alegação de certificação.

Princípios de postura de segurança

A BrasMedia busca operar sistemas públicos com base prática de segurança orientada à confidencialidade, integridade e disponibilidade. Isso inclui:

  • disciplina de acesso e credenciais em ambientes administrativos;
  • gestão de mudanças compatível com o porte e o risco do sistema;
  • suporte a logging, monitoramento e investigação de eventos relevantes;
  • revisão e manutenção de dependências como parte do processo normal de publicação;
  • avaliação célere de relatos críveis que indiquem abuso, má configuração ou falhas exploráveis.

Esta declaração é deliberadamente principiológica. Ela não promete certificação específica, auditoria, uptime fixo ou programa público de bug bounty, salvo se a BrasMedia assumir esse compromisso em instrumento próprio.

Expectativas para divulgação responsável

Se você acredita ter identificado vulnerabilidade que afete propriedade pública ou superfície de produto da BrasMedia, atue de modo a reduzir risco. A expectativa é evitar:

  • exfiltração intencional de dados além do mínimo necessário para confirmar o problema;
  • persistência, movimento lateral ou indisponibilidade de serviço;
  • engenharia social, phishing ou ataques a credenciais;
  • divulgação pública antes de haver tempo razoável para análise e mitigação;
  • testes que afetem materialmente outros usuários, clientes, dispositivos ou operações em produção.

A expectativa é que testes de boa-fé permaneçam dentro de limites legais, proporcionais e não destrutivos. Se a prova de conceito puder ser demonstrada sem coletar dados pessoais, alterar registros produtivos ou degradar disponibilidade, esse método mais seguro deve ser preferido.

O que incluir no relato

Sempre que possível, inclua:

  • URL, rota, funcionalidade, extensão ou ambiente afetado;
  • impacto observado;
  • passos claros de reprodução ou prova de conceito concisa;
  • pré-requisitos, suposições ou perfis afetados;
  • um canal seguro para retorno.

Relatos ficam mais triáveis quando também explicam se o problema parece envolver autenticação, autorização, exposição de dados, dependência, permissões de extensão, configuração de infraestrutura ou fluxo de entrega de conteúdo.

Como encaminhar o relato

Os canais públicos oficiais da BrasMedia são publicados no site principal da BrasMedia. Para relatar vulnerabilidade, use brasmedia.com/pt-br/security.html ou o fluxo geral em brasmedia.com/pt-br/contact.html.

Se o envio for feito por formulário geral, identifique-o claramente como relato de segurança e inclua o contexto necessário para triagem.

Processo de análise e coordenação

A BrasMedia espera que relatos críveis sejam encaminhados ao responsável interno apropriado. O fluxo de resposta pode variar conforme a propriedade afetada, a gravidade e o fato de o problema atingir produto, extensão ou somente uma superfície web.

O prazo de divulgação coordenada depende do risco, da complexidade da correção e de eventual impacto sobre terceiros ou clientes. A BrasMedia pode solicitar tempo adicional quando a divulgação sem correção criar risco desnecessário.

Também pode ser necessário coordenar a resposta com provedor de nuvem, operador de loja de extensões, parceiro de integração ou responsável por implantação específica de cliente antes que correção ou divulgação segura sejam possíveis.

O que esta página não autoriza

Esta página não é autorização irrestrita para:

  • contornar controles de acesso ou autenticar-se como outro usuário sem autorização;
  • atacar sistemas de terceiros, ambientes de clientes ou plataformas de loja;
  • manter cópias de dados após a comprovação do problema;
  • executar testes de negação de serviço ou varreduras agressivas contra produção;
  • ignorar legislação, regras de plataforma, contratos ou termos de uso aplicáveis.

A BrasMedia apoia pesquisa de boa-fé e proporcional, mas o pesquisador continua responsável por agir licitamente e por limitar o impacto do teste.

Escopo de produto

Algumas questões são melhor tratadas em contrato de produto, guia de implantação ou anexo comercial específico. Quando um produto tiver obrigações de segurança próprias para determinado cliente, o compromisso aplicável será o previsto no instrumento assinado ou no material de implementação correspondente.

Ausência de garantia pública ou bounty

Salvo publicação específica em sentido contrário, esta página não deve ser interpretada como:

  • promessa de janela fixa de resposta;
  • compromisso de publicação de advisories;
  • obrigação de recompensa financeira ou compensação;
  • representação de que toda falha poderá ser tratada do mesmo modo ou no mesmo prazo.

Atualizações desta página

A BrasMedia poderá atualizar esta declaração à medida que evoluírem suas propriedades públicas, rotas de divulgação e práticas de governança de segurança. A versão e a data de atualização identificam a revisão pública vigente.

Documentos relacionados

Continue lendo