Termos e políticas
Política de divulgação responsável da Catawiki

Obrigado por dedicar algum do seu tempo para participar no nosso programa de divulgação responsável. 

Na Catawiki, a segurança dos nossos sistemas é uma prioridade máxima. Quando desenvolvemos e fornecemos os nossos serviços, a segurança tem um papel fundamental.

Abaixo pode consultar as nossas diretrizes para submeter relatórios de falhas de qualidade à Catawiki, para que possamos resolvê-las eficazmente.

Os recursos que controlamos incluem o site https://www.catawiki.pt ou páginas que surgem após iniciar sessão na plataforma comercial https://www.catawiki.pt. Isso NÃO inclui aplicações de terceiros que utilizamos, mas que não controlamos diretamente. Por exemplo, blogues ou sites de emprego ou de marketing que não estejam alojados no domínio Catawiki, ou a Google Cloud Platform (GCP) ou vulnerabilidades da plataforma em nuvem.


O que queremos que faça

  • Enviar vulnerabilidades com pontuações CVE, caso existam, que sejam aplicáveis ao nosso site e indicar como podem ser utilizadas de forma abusiva.
  • Inclua vídeos e fotografias no seu relatório, ficamos muito gratos!
  • Envie exemplos de ficheiros maliciosos que podem ser carregados na nossa plataforma.
  • Envie relatórios de portas ou serviços de rede vulneráveis.
  • Envie vulnerabilidades em que haja falhas de validação, CSRF ou outras, que permitam contornar ou iludir os controlos de segurança.


O que não deve fazer

  • Não envie vulnerabilidades assinaladas por ferramentas ou scanners de terceiros sem que haja evidência de que podem ser utilizadas de forma abusiva.
  • Não envie vulnerabilidades relativas a palavras-passe obtidas por força bruta, ataques de dicionário ou outros sistemas de adivinhação de palavras-passe.
  • Não tente efetuar ataques DDoS ou outros ataques que esgotem recursos.
  • Não tente efetuar ataques de spam, a menos que uma vulnerabilidade implique enviar spam facilmente.
  • Não envie vulnerabilidades associadas à verificação de contas ou à política de palavras-passe.
  • Não envie vulnerabilidades associadas a um ataque Self-XSS.
  • Não envie vulnerabilidades associadas à falta de um registo de autorização de autoridade de certificação (CAA) para um nome de domínio da Catawiki.

Se não respeitar o nosso código de conduta acima referido, a Catawiki reserva-se o direito de instaurar uma ação judicial contra si. Este código de conduta para a notificação de vulnerabilidades de segurança na Catawiki rege-se pela legislação holandesa.

Além disso, não utilize a plataforma BugCrowd para perguntas ou reclamações relacionadas com os serviços da Catawiki ou com o material do utilizador existente na plataforma. Se tiver dúvidas ou queixas que não estejam relacionadas com vulnerabilidades de segurança dos nossos sistemas, consulte o nosso centro de ajuda e contacte as nossas equipas de apoio ao cliente, se necessário.

Para participar no nosso programa de divulgação responsável, inicie sessão ou crie uma conta de hacker no BugCrowd.


Proteção de dados

O programa de divulgação responsável rege-se pela política de privacidade da Catawiki. No entanto, salientamos que apenas são processados alguns dados pessoais para os relatórios enviados por si. A Catawiki utiliza o BugCrowd para facilitar a comunicação de vulnerabilidades, o que pode ser feito utilizando as suas credenciais de acesso ao BugCrowd. Se tiver uma conta, a Catawiki poderá ver o seu nome de utilizador, mas nenhum outro dado pessoal associado à sua conta. Todos os dados incluídos num relatório de vulnerabilidade são processados no nosso sistema interno de registo de ocorrências e ficam disponíveis para a nossa equipa de segurança e para outro pessoal técnico relevante. 

Este artigo foi útil?
Contacte-nos