Política de Disclosure Responsável

Atualizada em: 27 de maio de 2026

Rascunhoeste documento é um rascunho de trabalho publicado por transparência. Uma versão revisada juridicamente o substituirá antes dos planos pagos entrarem no ar. Ainda não constitui um acordo vinculante; se precisar de uma versão assinada, escreva pra legal@trymysaas.com.

Esta política descreve duas coisas: como o TryMySaaS notifica clientes quando nossos agentes descobrem um achado crítico de segurança em um sistema auditado, e como pesquisadores de segurança podem reportar vulnerabilidades no próprio TryMySaaS.

Escopo

Esta política se aplica a achados produzidos pelos agentes SecureIt e PenTestIt contra sistemas que você nos autorizou a auditar. Não se aplica a achados de ReviewIt, AuditIt ou MarketIt, que por desenho não testam defeitos exploráveis de segurança.

O que dispara notificação fora do canal padrão

Notificamos você por canal separado — fora do painel e do relatório normais — quando uma auditoria produz um achado que coloca dados de usuários finais ou continuidade do negócio em risco imediato. Exemplos:

  • Exposição não autenticada de dados pessoais (PII), credenciais de autenticação ou tokens de sessão.
  • Autenticação quebrada, incluindo ausência de autenticação em endpoints sensíveis, identificadores de sessão previsíveis e fluxos de recuperação de senha que vazam a conta.
  • Insecure direct object reference (IDOR) sobre registros pertencentes a outros usuários ou organizações.
  • Credenciais de nuvem ou de serviço expostas em código client-side, repositórios públicos ou corpos de resposta.
  • Execução remota de código, server-side request forgery contra recursos internos, ou qualquer vulnerabilidade que permita ao atacante agir como a aplicação.

Achados que não atendem a esse critério (questões teóricas, misconfigurações de baixa severidade, desvios de boas práticas) aparecem somente no relatório padrão.

Como notificamos

A notificação é um e-mail curto enviado para o titular da conta e para usuários com papel de segurança ou administração na organização auditada. O e-mail não contém os detalhes do achado — contém um link de acesso único e por tempo limitado a uma página protegida que os exibe. Fazemos isso para que e-mails reencaminhados ou em screenshot não vazem a vulnerabilidade.

Links de acesso são de uso único, expiram em 72 horas e ficam vinculados ao endereço destinatário. Seguir o link exige login na sua conta TryMySaaS.

Prazo

Nossa meta é enviar a notificação em até uma hora a partir do momento em que o agente produzir um achado que cumpra os critérios de disparo. Não atrasamos a notificação para tentar reproduzir o achado — se a evidência do agente sustenta a severidade, enviamos.

Quem pode receber notificações

Notificações vão para endereços de e-mail verificados em contas com papel de cobrança ou segurança na organização afetada. Você pode configurar destinatários adicionais (por exemplo, um endereço security@suaempresa.com) na página de configurações da organização. Não enviamos detalhes de disclosure para endereços não verificados.

Por que fazemos isso independentemente do plano

É padrão da indústria de ferramentas de segurança fazer disclosure imediato quando dados de usuários finais estão em risco. Também é nossa obrigação legal sob regimes de proteção de dados como LGPD, GDPR e CCPA quando um incidente afeta dados pessoais. Não vamos colocar esse comportamento atrás de upgrade de plano; se SecureIt ou PenTestIt estiverem habilitados na sua organização, você recebe os disclosures.

Reportar uma vulnerabilidade no TryMySaaS

Se você descobrir uma vulnerabilidade no próprio TryMySaaS — site, painel, runtime dos agentes ou nossas APIs — pedimos que nos dê oportunidade razoável de corrigir antes de divulgação pública. Inclua descrição clara, passos para reproduzir, versão ou URL afetada e o impacto observado. Confirmamos recebimento em 3 dias úteis e buscamos remediar achados críticos em até 30 dias.

Reporte para: security@trymysaas.com. Aceitamos reports criptografados com PGP; peça nossa chave na primeira mensagem.

Safe harbor para pesquisa de boa-fé

Se você é pesquisador de segurança agindo de boa-fé — testando apenas suas próprias contas ou dados de teste, sem degradar o serviço para outros usuários, sem acessar dados além do necessário para demonstrar o problema, e nos dando janela razoável para remediar — não tomaremos medidas judiciais contra você e trataremos sua atividade como autorizada para fins de leis de uso indevido de sistemas.

Alterações nesta política

Atualizamos esta política à medida que o serviço evolui. A data de 'Atualizada em' no topo desta página sempre reflete a versão vigente.