CONDIÇÕES GERAIS DE USO.

A HEETCH está comprometida em garantir a segurança e a privacidade de todos os passageiros e motoristas, protegendo suas informações. Esta política tem como objetivo fornecer aos pesquisadores de segurança diretrizes claras para conduzir atividades de descoberta de vulnerabilidades e transmitir nossas preferências sobre como enviar as vulnerabilidades descobertas para nós. Esta política descreve quais sistemas e tipos de pesquisa estão cobertos, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos pesquisadores de segurança que esperem antes de divulgar publicamente as vulnerabilidades. Recomendamos que você entre em contato conosco para relatar possíveis vulnerabilidades em nossos sistemas ou aplicativos

A Heetch se compromete a não processar as partes que enviarem relatórios de vulnerabilidade após este programa se o (s) declarante (s):

• Não use ferramentas automatizadas de descoberta de vulnerabilidades (ex: scanners)
• Realize pesquisas de segurança sem prejudicar a Heetch ou seus clientes, funcionários ou prestadores de serviços
• Não use, divulgue ou modifique nenhum dos dados obtidos como parte desta pesquisa
• Não realize nenhuma ação que afete o bom funcionamento dos serviços
• Não realize um ataque de negação de serviço

De acordo com esta política, “pesquisa” significa atividades nas quais você:

• Notifique-nos o mais rápido possível depois de descobrir um problema de segurança real ou potencial.
• Faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados.
• Use apenas os exploits na medida necessária para confirmar a presença de vulnerabilidades. Não use uma exploração para comprometer ou exfiltrar dados, estabelecer persistência ou usar a exploração para mudar para outros sistemas.
• Forneça um tempo razoável para resolver o problema antes de divulgá-lo publicamente. Depois de estabelecer a existência de uma vulnerabilidade ou encontrar dados confidenciais (incluindo informações de identificação pessoal, informações financeiras, informações proprietárias ou segredos comerciais de qualquer parte), você deve interromper seu teste, nos notificar imediatamente e não divulgar esses dados a ninguém

Os seguintes métodos de teste não estão autorizados:

• Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados
• Testes físicos (por exemplo, acesso ao escritório, portas abertas, uso não autorizado), engenharia social (por exemplo, phishing, pesca) ou qualquer outro teste de vulnerabilidade não técnico, seja em clientes (passageiros), motoristas ou funcionários da Heetch.
• Escaneamentos automatizados

Esta política se aplica aos seguintes sistemas e serviços:

• heetch.net
• heetch. com

Código-fonte nos repositórios públicos do Github

• Aplicativos IOS
• Aplicativos Android

‍

Qualquer serviço não listado expressamente acima, como qualquer serviço conectado, está excluído do escopo e não está autorizado para testes. Além disso, as vulnerabilidades encontradas em sistemas de qualquer fornecedor em que a Heetch usa serviços e/ou ferramentas estão fora do escopo desta política e devem ser relatadas diretamente ao fornecedor de acordo com sua política de divulgação (se houver). Se você não tiver certeza se um sistema está no escopo ou não, entre em contato conosco antes de iniciar sua pesquisa. Embora desenvolvamos e mantenhamos outros sistemas ou serviços acessíveis pela Internet, solicitamos que *pesquisas e testes ativos* sejam conduzidos somente nos sistemas e serviços abrangidos pelo escopo deste documento. Se houver um sistema específico que não esteja no escopo e que você ache que mereça ser testado, entre em contato conosco para discuti-lo primeiro. Aumentaremos o escopo desta política ao longo do tempo.

Aceitamos relatórios de vulnerabilidade via security@heetch.com

Os relatórios podem ser enviados anonimamente. Para obter mais informações sobre o tempo de resposta, leia O que você pode esperar de nós

Para relatórios confidenciais, você pode nos enviar mensagens criptografadas usando nossa chave PGP abaixo:

```JSX------INICIE O BLOCO DE CHAVE PÚBLICA DO PGP ----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 mh8dt+yekg0baox7i8qf5jitjfvp7nasjesvfdwjbrehykhc2gqzis4e=8GF4 ----- Encerrar BLOCO DE CHAVE PÚBLICA PGP ----```

Não conduzimos programas de recompensas. Por padrão, não recompensamos por relatórios de vulnerabilidade. No entanto, se você solicitar e se a vulnerabilidade for confirmada, podemos nos comprometer publicamente com sua divulgação em nosso Hall da Fama. Observe que podemos considerar recompensas excepcionais no caso de vulnerabilidades críticas desconhecidas confirmadas.

Para nos ajudar a fazer a triagem e priorizar os envios, recomendamos que seus relatórios:

• Descreva o local em que a vulnerabilidade foi descoberta e o impacto potencial da exploração.
• Ofereça uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (scripts de prova de conceito ou capturas de tela são úteis).
• Esteja em inglês, se possível.

Quando você opta por compartilhar suas informações de contato conosco, nos comprometemos a coordenar com você da forma mais aberta e rápida possível.

• Dentro de 3 dias úteis, confirmaremos que sua denúncia foi recebida.
• Da melhor maneira possível, confirmaremos a existência da vulnerabilidade para você e seremos o mais transparentes possível sobre as medidas que estamos tomando durante o processo de remediação, inclusive sobre problemas ou desafios que possam atrasar a resolução.
• Manteremos um diálogo aberto para discutir questões.

Perguntas sobre esta política podem ser enviadas para security@heetch.com. Também convidamos você a entrar em contato conosco com sugestões para melhorar esta política.