Logo Zup sem fundo, na cor branca
Segurança
SOMOS GUARDIÕES

Programa de Divulgação de Vulnerabilidades

Considerações iniciais

A Zup, reconhecendo a importância da contribuição da comunidade de pesquisadores da segurança da informação para aprimorar e engajar o crescimento exponencial de seus produtos e sistemas com maturidade, possui um canal de comunicação em que pesquisadores externos do mundo todo podem enviar relatórios destacando eventuais vulnerabilidades encontradas em nossos sistemas, ambientes, produtos e serviços.

Caso VOCÊ seja um pesquisador de segurança e tenha encontrado vulnerabilidade(s) a Zup quer ter o seu feedback. Assim, é só entrar em contato através do link zup.com.br/seguranca.

Mas atenção! A Zup leva muito a sério quando o assunto é segurança da informação e tratamento de dados de nossos serviços, produtos e clientes. Assim, ao entrar em contato com a Zup para relatar alguma vulnerabilidade que acredita ter encontrado, VOCÊ reconhece que leu e concordou com todos os termos aqui descritos.

Divulgação de Vulnerabilidades

Versão 1.0 (23/12/2022)

Termos e Condições do Programa de Vulnerabilidade da Zup

1 - TERMOS E CONDIÇÕES GERAIS

Para a elaboração do relatório de vulnerabilidades, VOCÊ:

1.1. Assume a responsabilidade de agir com boa-fé e ética perante a comunidade de segurança da informação mundial e à Zup e, portanto, afirma que realiza suas pesquisas de falhas/vulnerabilidades e as reporta de forma responsável, devendo manter o mais absoluto sigilo com relação a toda e qualquer informação que tiver sobre a Zup, seus produtos, clientes e serviços, bem como sobre a referida vulnerabilidade descoberta, motivo pelo qual firma o acordo de confidencialidade e tratamento de dados pessoais descrito nas cláusulas 1.14 e 2 deste termo.

1.2. Reconhece que a elaboração e envio do relatório ocorreu de forma espontânea e não foi solicitada, induzida ou contratada, de qualquer forma, pela ZUP.

1.3. Atesta que, para elaboração do relatório e/ou identificação da vulnerabilidade, não violou qualquer lei aplicável, incluindo as leis locais do país, região e do estado em que reside.
1.4. Não fez uso de quaisquer mecanismos e/ou metodologias abaixo, e/ou apresentou relatório com:

  • vulnerabilidades que requeiram engenharia social ou phishing;
  • ataques de negação de serviço (DDOS);
  • copiou, descompilou, faz engenharia reversa, desmontou, tentou derivar o código-fonte de, descriptografou, modificou e/ou criou trabalhos derivados de tal software;
  • problemas hipotéticos que não gerem efeitos práticos;
  • vulnerabilidades de segurança em aplicativos de terceiros e sites de terceiros integrados à Zup, exceto a integração em si;
  • saída de scanner ou relatórios gerados por scanner;
  • problemas encontrados por meio de testes automatizados e não validados;
  • problemas divulgados publicamente em software de internet no período de 30 dias de sua divulgação;
  • injeções em cabeçalho de host sem um efeito específico e demonstrável;
  • self-XSS, o que inclui qualquer carga inserida pela vítima;
  • CSRF de login ou logout.

1.5. Para sua pesquisa, VOCÊ se compromete a não interromper os serviços, softwares e ambientes da Zup. Caso ocorra tal violação, VOCÊ deverá cessar, imediatamente, sua pesquisa e notificar prontamente a Zup com informações suficientes para a correção e normalização do sistema. Bem como indenizar a Zup por perdas e danos que eventualmente ocorram em decorrência da violação e/ou interrupção mencionada acima.

1.6. Ao enviar o relatório, VOCÊ concede à Zup e às suas afiliadas, a licença não exclusiva, irrevogável, perpétua, sem royalties, sublicenciável, da propriedade intelectual do relatório e informações nele contidas, para que a Zup possa, a seu exclusivo critério: (i) usar, revisar, avaliar, testar, e, de outra forma, analisar o relatório, as vulnerabilidades e informações nele descritas e demais documentos enviados; (ii) reproduzir, modificar, distribuir, exibir, executar publicamente, criar trabalho derivado de, fazer, usar, vender, oferecer para venda e importar o relatório, bem como quaisquer materiais/documentos/informações conexos a ele e encaminhados por VOCÊ, para qualquer finalidade; e (iii) apresenta o relatório e todo o conteúdo e documento em conexão com ele, para marketing, promoção de programas (incluindo reuniões de vendas internas e externas, apresentações em conferências, feiras e capturas de tela do relatório em comunicados à imprensa) em todas as mídias (conhecidas no momento ou desenvolvidas posteriormente), bem como:

  • 1.6.1. Concorda em assinar qualquer documentação que possa ser necessária para a Zup, suas afiliadas, ou terceiros por ela designados a fim de confirmar os direitos concedidos acima;
  • 1.6.2. Entende e reconhece que a Zup pode ter desenvolvido ou comissionado materiais semelhantes ou idênticos ao seu relatório, e VOCÊ renuncia a reivindicações judiciais ou extrajudiciais resultantes das referidas semelhanças;
  • 1.6.3. Entende que não há remunerações nem créditos garantidos pelo uso do relatório;
  • 1.6.4. Declara e garante que o relatório é fruto de seu próprio trabalho e pesquisa, que não usou informações pertencentes a terceiros ou entidades e que tem o direito legal de fazer o envio à Zup;
  • 1.6.5. Declara estar ciente que não deve enviar nenhum documento, informação e relatórios que não deseja licenciar à Zup nos termos descritos no item 1.6;

    Nota: No contexto deste Termo, entende-se por relatório a notificação da vulnerabilidade e quaisquer evidências anexas ao processo.

1.7. Se compromete a não interromper, comprometer ou danificar dados ou propriedades pertencentes a terceiros. Isso inclui atacar quaisquer dispositivos ou contas que não sejam seus (ou aqueles para os quais você tenha permissão explícita e por escrito de seus proprietários).

1.8. Reconhece que a Zup poderá, a seu exclusivo critério, conceder uma recompensa pelo envio do relatório, mediante avaliação interna da empresa e nos termos por ela definidos. A qual poderá se tratar de um reconhecimento público de sua contribuição, a menos que você nos peça explicitamente e previamente para não incluir/divulgar seu nome.

  • 1.8.1. Caso a Zup opte por lhe enviar uma recompensa, VOCÊ está ciente de que esta se deu por mera liberalidade e, em nenhum momento ou circunstância, garantirá a VOCÊ o direito de exigir novas recompensas por outros relatórios enviados;
  • 1.8.2. Se a recompensa recebida for uma parcela em dinheiro, VOCÊ será o responsável pelo pagamento de todos os impostos e tributos exigíveis;
  • 1.8.3. Em todos os casos, após ser concedida a recompensa pela Zup, VOCÊ outorga a mais ampla, rasa, geral e irrevogável quitação para nada mais reclamar a que título for;

1.9. Reconhece que as informações de falhas e/ou vulnerabilidades reportadas à Zup serão tratadas/reparadas a exclusivo critério desta e a ausência de tratamento não afastará as obrigações assumidas por VOCÊ no presente termo, bem como não importará em nova recompensa caso esta tenha sido concedida pela Zup.

1.10. Reconhece que não há entre VOCÊ e a Zup qualquer forma de associação, franquia, consórcio, joint venture, vínculo empregatício, societário ou solidariedade que não as expressamente dispostas neste instrumento.

1.11. Nenhuma disposição contida no presente Termo garante ou tem por escopo conceder quaisquer direitos ou licenças, implícita ou explicitamente, sobre qualquer marca, nomes comerciais, denominações, símbolos, logotipos, desenho, quaisquer outros sinais distintivos que identifiquem bens ou serviços da ZUP, patente, direito patenteável ou direitos autorais da ZUP, tampouco quaisquer direitos sobre as Informações Confidenciais por estas reveladas ou por meio destas desenvolvidas.

1.12. Todos os materiais e documentos que contenham a logo da ZUP, ou a sua identificação, precisam passar por prévia e expressa autorização por escrito da ZUP antes de serem divulgados/reproduzidos, inclusive aqueles que impliquem na divulgação do objeto deste Termo.

1.13. Possui 18 (dezoito) anos ou mais no momento do envio do relatório e aceite deste Termo.

1.14. Ao se cadastrar no site para envio do seu relatório, VOCÊ enviará à Zup dados pessoais, e, desde já VOCÊ autoriza a Zup coletar, manter, usar, processar e compartilhar seus dados, incluindo, entre outros, nomes, e-mails, endereços, contas e outras informações, de acordo com a Política de Privacidade e Tratamento de Dados Pessoais da Zup, a qual pode ser consultada em: https://zup.com.br/politica-de-privacidade.

1.15. Se uma ou mais disposições previstas neste Termo for considerada inválida, ilegal ou inexequível por qualquer autoridade competente para tanto, a validade, legalidade e exequibilidade das demais disposições deste Termo não serão afetadas ou prejudicadas a qualquer título. Na medida permitida em lei, as partes concordam que a autoridade competente deverá reduzir o alcance de qualquer disposição ilegal, inválida ou inexeqüível a fim de torná-la razoável e vinculante sob as circunstâncias aplicáveis.

1.16. O presente Termo e as obrigações constantes nestes são estabelecidas em caráter incondicional, irrevogável e irretratável, vinculando as respectivas partes, seus herdeiros e sucessores a qualquer título, sendo certo, outrossim, que qualquer alteração ao presente Termo só será válida se feita por escrito e assinada pelas partes.

2. DA CONFIDENCIALIDADE E DA PROTEÇÃO DE DADOS PESSOAIS

2.1. Em virtude do acesso aos programas, projetos, produtos, serviços e/ou ambientes da Zup, VOCÊ reconhece que pode(rá) ter tido contato com informações confidenciais, as quais compreendem qualquer informação, know-how e dados (sejam eles provisórios ou definitivos), sejam de caráter jurídico, técnico, comerciais ou pessoais, ou ainda de natureza diversa, incluindo, sem limitação: segredos comerciais; informações relacionadas à clientes e fornecedores; contratos vigentes, vencidos e/ou em negociação; produtos existentes ou futuros; informações relacionadas à tecnologia; estratégia e/ou planos comerciais; patentes; aplicações de patentes; código fonte; processos; atividades promocionais ou de comercialização; informações econômicas, financeiras e contábeis; informações desenvolvidas que contenham parte de outra Informação Confidencial; e relativas à quaisquer outros negócios da Zup que, de modo geral, não são de conhecimento do público.

2.2. VOCÊ compromete-se a manter confidenciais todos os arquivos, informações, dados que, direta ou indiretamente, forem levados ao seu conhecimento em razão deste Termo, da elaboração do relatório apresentado e/ou pelo acesso aos ambientes, softwares, produtos e programas Zup, ou por meio da ZUP, seja verbalmente, por escrito, por meio eletrônico ou por qualquer outra forma de transmissão, doravante denominados, em conjunto, “INFORMAÇÕES CONFIDENCIAIS”, não podendo compartilhar com terceiros e/ou divulgá-las em qualquer canal de comunicação, mídia, redes sociais, entrevistas, entre outros.

2.3. VOCÊ reconhece que não poderá compartilhar com quaisquer terceiros as vulnerabilidades encontradas, bem como não poderá reproduzir, comercializar, divulgar por qualquer meio cópias do relatório, e, ainda, não poderá divulgar externamente, sem autorização prévia e por escrito da Zup, seja em entrevistas, palestras, redes sociais, currículos ou qualquer outro meio, as informações da Zup obtidas/acessadas/descobertas em virtude da sua pesquisa e/ou confecção do Relatório, bem como pelo acesso ao ambiente/programas/softwares e/ou projetos da Zup, obrigando-se a tomar todas as providências cabíveis no sentido de manter em sigilo e não revelar, total ou parcialmente, dados, informações ou documentos relativos à ZUP respondendo pela violação do sigilo ou pelo uso para propósito diverso do previsto no Termo.

2.4. A pedido expresso da ZUP, todas as INFORMAÇÕES CONFIDENCIAIS, bem como as cópias geradas por VOCÊ, devem ser devolvidas a ZUP no prazo de 48 (quarenta e oito) horas a contar do pedido, ou, caso instruído neste sentido, VOCÊ se compromete a destruir integralmente as Informações Confidenciais em seu poder no mesmo prazo retro.

2.5. VOCÊ assume a obrigação de que na hipótese de ser obrigado a revelar as Informações Confidenciais por determinação legal de autoridade competente, deverá notificar imediatamente a Zup para que esta possa tomar as providências necessárias para impedir a revelação. Caso a Zup não tenha êxito neste sentido, VOCÊ se compromete a somente revelar as informações confidenciais estritamente solicitadas.

2.6. Para os propósitos deste Termo, “Dados Pessoais” significam todas as informações acessadas ou recebidas em qualquer forma tangível ou intangível referente a, ou que pessoalmente identifiquem ou tornem indivíduos identificáveis. Quando da execução do presente Termo, bem como da pesquisa/acessos aos ambientes e programas da Zup, implicar na coleta, acesso, recebimento, processamento, transmissão, tratamento e/ou transferência internacional de dados de caráter pessoal, VOCÊ se compromete a:

  • (A) Cumprir as leis de privacidade de dados em relação ao tratamento de dados pessoais objeto deste Termo naquilo que for aplicável;
  • (B) Se comprometer que os dados gerados na execução das atividades deste Termo deverão permanecer em território brasileiro ou em localidades que possuam uma Lei Geral de Proteção de Dados similar à Lei 13.709 do Brasil;
  • (C) Tratar os dados de caráter pessoal a que tenha acesso, com a exclusiva de realizar a comunicação à Zup sobre a vulnerabilidade/falha técnica encontrada, sem a possibilidade de utilizar esses dados para finalidade distinta;
  • (D) Não divulgar a terceiros os dados de caráter pessoal a que tenha tido acesso, salvo mediante prévia e expressa autorização da Zup;
  • (E) Manter em absoluto sigilo todos os dados de caráter pessoal e informações que lhe tenham sido confiados, ou que tenha tido acesso;
  • (F) Não divulgar qualquer espécie de incidente de segurança, inclusive envolvendo dados pessoais, relativos ao objeto do presente Termo, sem autorização expressa da Zup.
  • (G) Não reter quaisquer Dados Pessoais fornecidos pela Zup por um período superior ao necessário para a execução dos objetivos deste Termo e/ou para o cumprimento das suas obrigações, ou conforme necessário ou permitido pela lei aplicável. VOCÊ se compromete a apagar/destruir com segurança (mediante confirmação por escrito), ou devolver à Zup(quando solicitado) todos os documentos que contenham dados de caráter pessoal, a que tenha tido acesso durante a execução dos objetivos deste Termo, bem como qualquer cópia destes, seja de forma documental ou magnética, a menos que a sua manutenção seja exigida ou assegurada pela legislação vigente.

2.7. VOCÊ não poderá transferir, no todo ou em parte, os Dados Pessoais a que tiver acesso para quaisquer terceiros, mesmo que de forma agregada e/ou anônima.

3. DO FORO E LEI APLICÁVEL

3.1. Fica desde já estabelecido que em toda e qualquer discussão e/ou controvérsia originada ou em conexão com o presente Termo as Partes se esforçarão para negociar amigavelmente um acordo. Caso a tentativa de negociação seja infrutífera, no todo ou em parte, as Partes elegem o foro da Comarca de São Paulo/SP para solucionar os litígios remanescentes, com renúncia a qualquer outro foro por mais privilegiado que seja. Fica estabelecido, ainda, que este Termo será regido e interpretado de acordo com as Leis Brasileiras aplicáveis, com exclusão de quaisquer outras.

4. LIMITAÇÃO DE RESPONSABILIDADE

4.1. Em qualquer litígio, discussão, controvérsia ou demanda judicial e/ou extrajudicial decorrente ou em conexão com este Termo, VOCÊ concorda que a responsabilidade total da Zup estará limitada aos danos diretos comprovadamente causados por negligência, até o valor total de U$100,00. A Zup, em nenhuma hipótese, será responsável por perdas ou danos indiretos, consequenciais, especiais, incidentes, morais, punitivos, lucros cessantes e/ou danos emergentes.

Este site utiliza cookies para proporcionar uma experiência de navegação melhor. Consulte nossa Política de Privacidade.