Skip to content
Segurança

Política de divulgação responsável

Se você encontrou uma vulnerabilidade no QuantumScan — na plataforma, na API ou no scanner-core — queremos saber. Levamos segurança a sério e agimos rápido.

📬
Como reportar: Envie um e-mail para security@quantumscan.io com descrição detalhada, passos para reproduzir e impacto estimado. Respondemos em até 48 horas úteis.
Prometemos: Não abriremos ação legal contra pesquisadores que agirem de boa-fé e seguirem esta política. Seu nome ou handle em nosso hall de agradecimentos, se desejar.

Escopo

Em escopo

  • quantumscan.io (produção)
  • API /api/* e funções serverless
  • Dashboard autenticado
  • Scanner-core engine (repo público)
  • Vazamento de dados de clientes
  • Escalada de privilégio
  • SSRF / RCE / SQLi / XSS persistente
🚫

Fora do escopo

  • Ataques DDoS
  • Engenharia social
  • Clickjacking sem impacto prático
  • Resultados de scanners automáticos sem PoC
  • CVEs públicos em dependências de terceiros

Nossas práticas de segurança

🔐

Criptografia em repouso e em trânsito

Banco Neon com TLS. Chaves BYOK criptografadas com AES-256-GCM antes de salvar. Nenhuma chave de cliente aparece em logs.

🛡️

Autenticação via Clerk

OAuth 2.0 (Google) + Magic Link. Sessões com rotação automática de tokens. MFA disponível para todos os planos.

📋

Audit log completo

Toda ação sensível (scan, export, delete, settings) é registrada com IP, user-agent e hash de integridade. Exportável em 1 clique via painel GDPR.

🔍

Princípio do menor privilégio

Tokens GitHub/GitLab com escopo mínimo de leitura. Nunca escrevemos no repositório do cliente (exceto PR bot, com permissão explícita de instalação).

Histórico de divulgações

Nenhuma vulnerabilidade crítica reportada até o momento. Esta seção será atualizada conforme descobertas forem resolvidas e divulgadas responsavelmente.

Encontrou algo?

Reporte em privado. Agimos em 48 horas úteis.

security@quantumscan.io
← Voltar para o início