Política de Seguridad — WiseData Business

16/12/2025
WiseData Business
CNPJ: 53.182.850/0001-14

WiseData Business valora la seguridad de la información y fomenta la divulgación responsable de vulnerabilidades identificadas en sus sistemas. Esta política establece las directrices para investigadores de seguridad, socios y terceros que deseen reportar posibles fallos de seguridad de forma ética y responsable.

1. Alcance

Esta política se aplica a todos los sistemas, aplicaciones, APIs, portales e infraestructura pública operada por WiseData Business, incluidos, entre otros:

  • Balancinho
  • WiseData Agency
  • WiseData Tools
  • Emissor NFS-e Goiânia
  • WiseData Agro
  • Portal del Socio WiseData
  • Administración WiseData
  • APIs, subdominios, frontends (SPA) y backends asociados

Cualquier sistema o subdominio público bajo control de WiseData Business queda automáticamente incluido en este alcance, salvo indicación explícita en contrario.

2. Canal oficial de reporte

Toda vulnerabilidad debe reportarse exclusivamente a través del canal oficial:

E-mail: security@wisedatabusiness.com

El reporte debe incluir, siempre que sea posible:

  • Descripción clara de la vulnerabilidad
  • Sistema o URL afectada
  • Pasos para reproducirla (proof of concept)
  • Impacto potencial
  • Evidencias técnicas (sin datos sensibles)

3. Pruebas permitidas

WiseData Business autoriza pruebas de seguridad realizadas de buena fe, respetando íntegramente los límites de esta política.

Se permiten:

  • Pruebas manuales o automatizadas de bajo impacto
  • Verificación de vulnerabilidades comunes, incluyendo:
  • Pruebas de rate limit a baja intensidad
  • Pruebas realizadas exclusivamente en cuentas propias del investigador
  • Demostraciones de concepto que no impliquen exfiltración de datos, persistencia ni explotación continua
  • OWASP Top 10
  • SQL Injection
  • XSS
  • CSRF
  • IDOR
  • Broken Access Control
  • Fallos de autenticación y autorización
  • CORS mal configurado
  • Open Redirect
  • Mass Assignment

📌 Regla fundamental:
Identificar, comprobar y detener la prueba inmediatamente.

4. Pruebas expresamente prohibidas

Los siguientes ítems no están autorizados bajo ninguna circunstancia, independientemente de la intención:

  • Ataques de denegación de servicio (DoS / DDoS / stress testing)
  • Escaneos agresivos o automatizados que afecten la estabilidad
  • Fuerza bruta real (login, tokens, API keys, OTP, etc.)
  • Acceso, visualización, modificación o eliminación de datos de otros usuarios
  • Cualquier forma de explotación financiera real:
  • Ingeniería social, phishing o captura de credenciales
  • Subir o ejecutar malware, ransomware o código destructivo
  • Explotación de infraestructura interna (bases de datos, colas, caché, contenedores, orquestación)
  • Intentos de persistencia, backdoors o escalada continua
  • Ataques físicos o contra socios terceros
  • Divulgación pública de la vulnerabilidad antes de la corrección

Cualquier actividad fuera de estos límites será tratada como uso indebido o intento de ataque, sujeta a las medidas legales correspondientes.

  • Generación de cobros
  • Emisión de PIX
  • Pagos, reembolsos o simulaciones que resulten en transacciones reales

5. Divulgación Responsable (Responsible Disclosure)

WiseData Business adopta el principio de divulgación responsable, esperando que el investigador:

  • No explote la vulnerabilidad más allá de lo necesario para comprobarla
  • No comparta información con terceros
  • No publique detalles sin autorización previa
  • Espere la corrección antes de cualquier divulgación pública

La empresa se compromete a:

  • Confirmar la recepción del reporte
  • Evaluar la vulnerabilidad en un plazo razonable
  • Tratar el incidente según su criticidad

6. Safe Harbor (Protección legal condicional)

Los investigadores que:

no serán objeto de acciones legales por parte de WiseData Business por las actividades de investigación de seguridad realizadas dentro de estos límites.

  • Actúen de buena fe
  • Respeten íntegramente esta política
  • No causen daños operativos, financieros o legales
  • Reporten el fallo de forma responsable

Esta protección no se aplica a actividades prohibidas, negligentes o maliciosas.

7. Recompensas

Actualmente, WiseData Business no mantiene un programa público de bug bounty y no garantiza ningún tipo de recompensa financiera por el reporte de vulnerabilidades.

Los reportes relevantes y bien documentados podrán, a criterio exclusivo de la empresa, ser reconocidos institucionalmente.

8. Actualizaciones de esta política

Esta política puede modificarse en cualquier momento, sin aviso previo.

La versión más actualizada estará siempre disponible en la dirección oficial indicada en los archivos security.txt de los sistemas WiseData.

9. Consideraciones finales

La seguridad de los sistemas WiseData es una prioridad. La colaboración responsable de los investigadores contribuye a un ecosistema más seguro, confiable y resiliente para todos los usuarios y socios.