Pular para o conteúdo
DocAuto

Segurança

Política de divulgação coordenada

Versão 1.0.0 · vigente desde 15 de maio de 2026

Levamos a segurança dos dados pessoais sob nossa responsabilidade a sério. Esta página descreve como reportar uma vulnerabilidade, o que esperamos de pesquisadores externos e o que você pode esperar de nós em troca.

1Como reportar

Reporte vulnerabilidades por email para security@docauto.com.br. Inclua o que conseguir:

  • Descrição do problema e impacto potencial
  • Passos de reprodução (URL, payload, sequência de cliques)
  • Versão / build / horário em que o teste foi feito
  • Se possível, captura de tela ou prova de conceito mínima

O reporte também pode ser feito pelo canal do Encarregado de Dados (dpo@docauto.com.br) caso o assunto envolva dados pessoais.

2Nossos compromissos

  • Resposta em até 72 horas após o recebimento (dias úteis ou não)
  • Manteremos você informado sobre a triagem, prazo de correção e data de deploy do fix
  • Não tomaremos ações legais contra pesquisadores que ajam de boa-fé, dentro do escopo desta política
  • Crédito público (opcional) em "Hall of fame" quando o fix for publicado, se o reporter desejar

3Escopo

Aceitamos reportes sobre os seguintes domínios e serviços:

  • docauto.com.br e www.docauto.com.br — landing e dashboard
  • api.docauto.com.br — backend da API
  • Repositório público do projeto no GitHub (se houver)

Não aceitamos reportes que envolvam:

  • DDoS, brute-force massivo, ataques que degradem o serviço para outros usuários
  • Engenharia social contra a equipe ou clientes (phishing, pretexting)
  • Acesso a dados de outros titulares — pare imediatamente ao descobrir uma vulnerabilidade que permita isso e reporte sem extrair
  • Vulnerabilidades em sistemas de terceiros (Vercel, Oracle Cloud) — reporte diretamente ao fornecedor

4Prazo de divulgação coordenada

Pedimos que aguarde a publicação do fix antes de divulgar a vulnerabilidade. Trabalharemos para resolver questões de alta severidade em até 30 dias; severidade média em até 90 dias. Se o prazo precisar se estender, comunicaremos com a justificativa.

Após o deploy do fix, recomendamos um período mínimo de 14 dias antes da divulgação pública para que usuários possam atualizar suas práticas, se aplicável.

5Em caso de incidente

Se a vulnerabilidade já foi explorada e há indício de acesso indevido a dados pessoais, seguimos o processo descrito no nosso runbook interno de resposta a incidentes — que inclui notificação à ANPD e aos titulares afetados em até 72 horas quando aplicável (LGPD Art. 48).

Histórico público de incidentes anteriores: nenhum até o momento. Quando houver, será publicado aqui com a respectiva análise pós-incidente.

6security.txt

Esta política também está exposta em formato RFC 9116 para descoberta automática: /.well-known/security.txt.