O Promptbook substitui um pentest?

Não. Ele ajuda a encontrar sinais e organizar a revisão. Validação de impacto, cadeia de exploração e confirmação de correção ficam no Pentest Manual.

Por que o Pentest Manual não fica em checkout comum?

Porque escopo, autorização, ambiente e risco operacional precisam ser avaliados antes da proposta.

Segurança Colaborativa

Divulgação Responsável

Atualizado: Março 2026

1. PROGRAMA DE DIVULGAÇÃO RESPONSÁVEL

A RET Tecnologia valoriza a comunidade de segurança e encoraja a divulgação responsável de vulnerabilidades. Se você descobriu uma falha de segurança em nossos sistemas, queremos ouvir você.

2. ESCOPO DO PROGRAMA

Ativos cobertos por este programa:

rettecnologia.org — Portal principal e todas as suas subpáginas.

APIs públicas — Endpoints documentados da RET.

Infraestrutura Edge — Configurações de CDN e headers de segurança.

Ativos fora do escopo:

Serviços de terceiros hospedados em domínios que não pertencem à RET.

Testes que envolvam engenharia social contra funcionários.

Ataques de negação de serviço (DoS/DDoS).

3. PROTOCOLO ÉTICO (SAFE HARBOR)

A RET Tecnologia se compromete a:

Não iniciar ação legal contra pesquisadores que atuem de boa-fé e em conformidade com esta política.

Não reportar atividades de pesquisa às autoridades, desde que conduzidas eticamente.

Reconhecer publicamente (com autorização) pesquisadores que contribuam significativamente para nossa segurança.

Tratar relatos com confidencialidade absoluta durante todo o processo de remediação.

4. CANAL DE REPORTE

Envie seu relatório de vulnerabilidade para:

E-mail: [email protected]

Assunto: [VDP] Descrição breve da vulnerabilidade

Cc (opcional): [email protected] — para coordenação com o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil)

Conteúdo mínimo do relatório:

Descrição detalhada da vulnerabilidade

Passos para reprodução (PoC)

Impacto potencial estimado

Sugestão de remediação (opcional)

5. SLA DE RESPOSTA (POR SEVERIDADE CVSS)

Crítica (CVSS 9.0–10.0): Triage em 6 horas. Patch em 24 horas. Notificação ao pesquisador em 48h.

Alta (CVSS 7.0–8.9): Triage em 24 horas. Patch em 72 horas.

Média (CVSS 4.0–6.9): Triage em 48 horas. Patch no próximo ciclo de release.

Baixa (CVSS 0.1–3.9): Triage em 72 horas. Patch conforme priorização.

6. AÇÕES PROIBIDAS

Para preservar a integridade de nossos sistemas e dados de clientes, as seguintes ações são estritamente proibidas:

Ataques de negação de serviço (DoS/DDoS).

Exfiltração destrutiva de dados de produção.

Modificação ou exclusão de dados de terceiros.

Acesso a contas de outros usuários sem autorização explícita.

Divulgação pública da vulnerabilidade antes da remediação completa.

7. RECONHECIMENTO

Pesquisadores que contribuírem significativamente para a segurança da RET poderão ser:

Incluídos em nosso Hall of Fame de segurança (com autorização).

Convidados para participar de programas beta e early-access.

Recomendados profissionalmente pela equipe técnica da RET.

Documento mantido com controles de segurança e privacidade.

RETSegurança para SaaS

Preparando a próxima tela com calma e sem perder o contexto.