Responsible Disclosure

Agradecemos a comunidade de segurança. Se você encontrou uma vulnerabilidade, siga as diretrizes abaixo para um reporte responsável e coordenado.

1. Escopo

O escopo inclui sistemas e domínios operados pela haq. Caso não tenha certeza, descreva o alvo no relatório e avaliamos internamente.

2. Como reportar

Envie um e-mail para security@haq.com.br com:

  • Descrição detalhada da vulnerabilidade
  • Passos para reprodução
  • Impacto potencial
  • Qualquer evidência relevante (prints, PoC, logs)

3. Boas práticas

Não explore dados de terceiros, não execute ataques de negação de serviço e evite qualquer ação que possa degradar serviços ou expor informações sensíveis.

4. Prazos e retorno

Confirmaremos o recebimento em até 72 horas úteis e manteremos você informado sobre o andamento da correção.

5. Divulgação

Pedimos que aguarde a correção antes de qualquer divulgação pública. A divulgação coordenada protege os usuários e mantém a integridade dos sistemas.