Contato prioritário:
Para relatar vulnerabilidades de segurança, utilize exclusivamente o e-mail:
opensourcesec@stone.com.br

• Forneça detalhes técnicos completos, incluindo versões do software afetado.
• Inclua etapas reproduzíveis e evidências (logs ou capturas de tela).
  • Obs: Não é indicada a exploração de vulnerabilidades, mesmo em caráter de POC, para o report.
• Resposta inicial dentro de 48 horas úteis.

1. [Interno] Confirmação da vulnerabilidade pela equipe de segurança.
2. [Interno] Desenvolvimento e teste da correção (prazo médio: 14 dias)
3. [Interno] Notificação coordenada aos usuários via:
   • GitHub Security Advisory
   • Canal Privado de Comunicação para Eventos de Segurança
   • E-mail para responsáveis estratégicos do projeto reportado.
4. [Externo] Divulgação pública da vulnerabilidade.

Contribuidores que seguirem esta política serão mencionados nesse repositório como forma de reconhecimento.

Esta política aplica-se a todos os repositórios públicos sob a organização stone-payments
Última atualização: 2024-02-17