Security Policy — WiseData Business

16/12/2025
WiseData Business
CNPJ: 53.182.850/0001-14

A WiseData Business valoriza a segurança da informação e incentiva a divulgação responsável de vulnerabilidades identificadas em seus sistemas. Esta política estabelece as diretrizes para pesquisadores de segurança, parceiros e terceiros que desejem reportar potenciais falhas de segurança de forma ética e responsável.

1. Escopo

Esta política se aplica a todos os sistemas, aplicações, APIs, portais e infraestruturas públicas operadas pela WiseData Business, incluindo, mas não se limitando a:

  • Balancinho
  • WiseData Agency
  • WiseData Tools
  • Emissor NFS-e Goiânia
  • WiseData Agro
  • Portal do Parceiro WiseData
  • Administração WiseData
  • APIs, subdomínios, frontends (SPA) e backends associados

Qualquer sistema ou subdomínio público sob controle da WiseData Business está automaticamente incluído neste escopo, salvo indicação explícita em contrário.

2. Canal oficial para reporte

Toda vulnerabilidade deve ser reportada exclusivamente por meio do canal oficial abaixo:

E-mail: security@wisedatabusiness.com

O reporte deve conter, sempre que possível:

  • Descrição clara da vulnerabilidade
  • Sistema ou URL afetada
  • Passos para reprodução (proof of concept)
  • Impacto potencial
  • Evidências técnicas (sem dados sensíveis)

3. Testes permitidos

A WiseData Business autoriza testes de segurança conduzidos de boa-fé, desde que respeitados integralmente os limites desta política.

São permitidos:

  • Testes manuais ou automatizados de baixo impacto
  • Verificação de vulnerabilidades comuns, incluindo:
  • Rate limit testing em baixa intensidade
  • Testes realizados exclusivamente em contas próprias, criadas e controladas pelo pesquisador
  • Demonstrações de conceito (proof of concept) que não envolvam exfiltração de dados, persistência ou exploração contínua
  • OWASP Top 10
  • SQL Injection
  • XSS
  • CSRF
  • IDOR
  • Broken Access Control
  • Authentication e Authorization flaws
  • CORS misconfiguration
  • Open Redirect
  • Mass Assignment

📌 Regra fundamental:
Identificar, provar e interromper o teste imediatamente.

4. Testes expressamente proibidos

Os itens abaixo não são autorizados em nenhuma circunstância, independentemente da intenção:

  • Ataques de negação de serviço (DoS / DDoS / stress testing)
  • Varreduras agressivas ou automatizadas que impactem estabilidade
  • Brute force real (login, tokens, API keys, OTP, etc.)
  • Acesso, visualização, modificação ou exclusão de dados de outros usuários
  • Qualquer forma de exploração financeira real:
  • Engenharia social, phishing ou coleta de credenciais
  • Upload ou execução de malware, ransomware ou código destrutivo
  • Exploração de infraestrutura interna (bancos de dados, filas, cache, containers, orquestração)
  • Tentativas de persistência, backdoors ou escalada contínua
  • Ataques físicos ou contra terceiros parceiros
  • Divulgação pública da vulnerabilidade antes da correção

Qualquer atividade fora destes limites será tratada como uso indevido ou tentativa de ataque, sujeita às medidas legais cabíveis.

  • Geração de cobranças
  • Emissão de PIX
  • Pagamentos, estornos ou simulações que resultem em transações reais

5. Divulgação responsável (Responsible Disclosure)

A WiseData Business adota o princípio de divulgação responsável, esperando que o pesquisador:

  • Não explore a vulnerabilidade além do necessário para comprovação
  • Não compartilhe informações com terceiros
  • Não publique detalhes sem autorização prévia
  • Aguarde a correção antes de qualquer divulgação pública

A empresa se compromete a:

  • Confirmar o recebimento do reporte
  • Avaliar a vulnerabilidade em prazo razoável
  • Tratar o incidente de acordo com sua criticidade

6. Safe Harbor (Proteção legal condicional)

Pesquisadores que:

Não serão alvo de ações legais pela WiseData Business em decorrência das atividades de pesquisa de segurança realizadas dentro destes limites.

  • Atuem de boa-fé
  • Respeitem integralmente esta política
  • Não causem danos operacionais, financeiros ou legais
  • Reportem a falha de forma responsável

Esta proteção não se aplica a atividades proibidas, negligentes ou maliciosas.

7. Recompensas

Atualmente, a WiseData Business não mantém programa público de bug bounty e não garante qualquer tipo de recompensa financeira pelo reporte de vulnerabilidades.

Relatos relevantes e bem documentados podem, a critério exclusivo da empresa, ser reconhecidos de forma institucional.

8. Atualizações desta política

Esta política pode ser alterada a qualquer momento, sem aviso prévio.

A versão mais atual estará sempre disponível no endereço oficial informado nos arquivos security.txt dos sistemas WiseData.

9. Considerações finais

A segurança dos sistemas WiseData é uma prioridade. A colaboração responsável de pesquisadores contribui para um ecossistema mais seguro, confiável e resiliente para todos os usuários e parceiros.