Na Waterfy, a segurança e a confiabilidade da nossa plataforma são prioridades absolutas, e contamos com o apoio da comunidade de pesquisadores de segurança. Com nosso Programa de Bug Bounty, recompensamos pesquisadores ao nos reportar falhas de forma responsável, ajudando nossa equipe a proteger nossos usuários e nossos sistemas.

Regras do Programa

Apenas pesquisas realizadas de maneira ética e responsável serão aceitas. Atividades mal-intencionadas resultam em desclassificação imediata e podem gerar medidas legais. Para participar, siga as regras abaixo:

1. Relatórios completos e detalhados: O relato deve incluir uma descrição clara da vulnerabilidade, passos detalhados para reprodução e, sempre que possível, um Proof of Concept (PoC) demonstrando o problema.
2. Divulgação responsável: Pedimos que não publique ou compartilhe informações antes de nossa equipe revisar, corrigir e autorizar a divulgação.
3. Alvo do programa: O escopo inclui nossa plataforma web, mobile, APIs públicas e integrações oficiais.
4. Fora do escopo:Relatórios que envolvem vulnerabilidades sem impacto significativo, testes automatizados sem permissão ou ataques de negação de serviço (DDoS) não são elegíveis para recompensas.
5. Testes éticos e não destrutivos
   Não é permitido realizar testes que comprometam dados de usuários, interrompam serviços ou afetem a disponibilidade da plataforma.
   
   

Recompensas

Serão definidas com base na gravidade e no impacto da vulnerabilidade, utilizando como referência a classificação do CVSS (Common Vulnerability Scoring System). Informamos que, a decisão final (sobre a classificação e o valor da recompensa) será feita pela equipe interna de segurança da Waterfy, com base no impacto real da vulnerabilidade e na qualidade do relatório enviado.

Categoria	Exemplo	Recompensa (BRL)
Crítica	Execução remota de código, acesso não autorizado a dados sensíveis	R$ 3.000 – R$ 10.000
Alta	XSS explorável, SQL Injection com impacto relevante	R$ 1.500 – R$ 3.000
Média	Quebra de autenticação, vazamento de informações moderado	R$ 500 – R$ 1.500
Baixa	Melhoria na configuração de segurança, bugs sem impacto crítico	R$ 100 – R$ 500

 

Como Reportar

Para enviar seu relatório, acesse nosso canal oficial em: https://www.waterfy.net/suporte

O relato deve conter, no mínimo:

• Nome completo ou pseudônimo
• Descrição detalhada da vulnerabilidade
• Passos para reprodução
• Evidências técnicas (códigos, prints, PoC)
• Sugestão de correção (opcional, mas bem-vinda)

Nos comprometemos a revisar e responder aos relatórios em até 10 dias úteis. Caso a vulnerabilidade seja validada, iniciaremos o processo de correção e informaremos sobre a elegibilidade para recompensa.

Termos e Condições

• A participação no programa não cria qualquer vínculo empregatício ou contratual com a Waterfy.
• A classificação da vulnerabilidade e a decisão sobre o valor da recompensa são finais e irrecorríveis.
• Vulnerabilidades descobertas por colaboradores internos da Waterfy não são elegíveis para recompensa.
• A Waterfy se reserva o direito de modificar ou encerrar este programa a qualquer momento, sem aviso prévio.

 

Agradecemos sua contribuição para tornar a Waterfy cada vez mais segura!
Equipe Waterfy.