Para empresas Para uso pessoal
Vulnerability Disclosure Policy

Divulgação coordenada de vulnerabilidades

Coordinated Vulnerability Disclosure / VDP para Password Depot

Status: 10 de março de 2026

Reportar vulnerabilidade Security Advisories
Safe Harbor Escopo Confirmação em 48h Coordinated Disclosure
Objetivo & escopo

Objetivo desta política

A AceBIT GmbH recebe com satisfação comunicações sobre vulnerabilidades no Password Depot e em serviços web relacionados ao produto, de responsabilidade da AceBIT. Esta política descreve como pesquisadores de segurança podem reportar vulnerabilidades potenciais, quais regras se aplicam à pesquisa de segurança e quais compromissos a AceBIT assume no âmbito de uma divulgação coordenada.

Os reportes podem ser feitos em alemão ou inglês.

Escopo

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Extensão de navegador (Chrome, Edge, Firefox)
  • Aplicativos móveis (iOS, Android)
  • Serviços web relacionados ao produto em password-depot.de

Incluindo componentes de terceiros, desde que façam parte dos produtos mencionados.

Não incluído

  • Ambientes produtivos de clientes, instalações específicas de clientes e outros sistemas de terceiros
  • Serviços ou infraestruturas operados por terceiros que não fazem parte do Password Depot
  • Engenharia social, phishing, ataques físicos, spam, força bruta, credential stuffing, varreduras em massa ou testes de negação de serviço
Safe Harbor

Safe Harbor

Se você agir de boa-fé, seguir esta política, limitar seus testes ao escopo descrito acima e não acessar, alterar, excluir, exfiltrar dados nem afetar serviços, renunciaremos – na medida legalmente permitida – a reivindicações civis relacionadas a essa pesquisa de segurança.

Na medida em que isso estiver sob nosso controle e for legalmente permitido, também não apresentaremos denúncia criminal por esse tipo de pesquisa de segurança.

Isso não se aplica a ações fora do escopo, a testes contra sistemas de clientes ou de outros terceiros, a violações de proteção de dados, interrupções operacionais ou outras infrações à legislação aplicável.

Esta política não constitui autorização para realizar testes fora do escopo descrito aqui.
Diretrizes

Nossas expectativas em relação aos pesquisadores de segurança

1 Atue com cuidado, de boa-fé e limite seus testes ao necessário para comprovar a vulnerabilidade de forma verificável.
2 Não acesse dados reais de clientes. Caso obtenha acesso inadvertido a dados sensíveis, interrompa o teste imediatamente e informe-nos sem demora.
3 Não altere, exclua, exfiltre nem publique dados.
4 Não realize testes que possam afetar sistemas ou serviços nem comprometer sua disponibilidade.
5 Não utilize engenharia social, phishing, ataques físicos nem instale backdoors ou mecanismos de persistência.
6 Não compartilhe detalhes publicamente antes de definirmos em conjunto uma data de divulgação coordenada.
Chave PGP

Comunicação criptografada

Para detalhes técnicos sensíveis, use a chave pública PGP da equipe de segurança do Password Depot. Antes de criptografar, verifique a impressão digital da chave baixada.

Identidade Password Depot Security <security@password-depot.de> Impressão digital primária (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Subchave de criptografia (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Validade Chave primária válida até 2031-04-23 · subchave de criptografia válida até 2028-04-23 Download da chave https://www.password-depot.de/.well-known/pgp-key.asc

Também disponível via RFC 9116 (security.txt) em /.well-known/security.txt.

Relato

Como relatar uma vulnerabilidade

Enviar relato

Envie seu relato para:

security@password-depot.de

Inclua o seguinte

  • Produto afetado, versão, build e componente
  • Descrição da vulnerabilidade
  • Etapas para reprodução / Proof of Concept
  • Avaliação do impacto e da gravidade
  • Ambiente de teste, configuração e pré-requisitos
  • Dados de contato e, se aplicável, preferência quanto à menção do nome
Não envie dados pessoais desnecessários nem grandes volumes de dados de ambientes de produção.

Confidencialidade

Tratamos seu relato e – se assim desejar – sua identidade de forma confidencial, na medida do permitido por lei. Publicaremos seu nome somente com seu consentimento prévio.

Seus dados só serão compartilhados na medida em que isso for necessário para a análise, correção e divulgação coordenada da vulnerabilidade ou para o cumprimento de obrigações legais.

Processo

O que acontece após seu relato

Confirmação de recebimento 48 horas Confirmamos o recebimento da sua notificação.
Avaliação inicial 7 dias Informaremos se classificamos a notificação como válida, duplicada, fora do escopo ou atualmente não verificável.
Atualizações contínuas a cada 30 dias Manteremos você informado sobre o andamento do tratamento até a correção ou até a divulgação acordada.
Divulgação

Divulgação coordenada e Security Advisories

Assim que uma atualização de segurança ou outra medida corretiva eficaz estiver disponível, normalmente publicaremos um Security Advisory para vulnerabilidades confirmadas.

Se uma publicação imediata puder comprometer a segurança dos nossos usuários, poderemos adiar a publicação até um momento apropriado.

Ver Security Advisories

Um Security Advisory contém, no mínimo,

  • Uma descrição da vulnerabilidade
  • Os produtos e as versões afetados
  • Impacto e gravidade
  • Orientações claras para correção ou mitigação

Aviso sobre obrigações legais de notificação

Se uma notificação indicar uma vulnerabilidade explorada ativamente ou um incidente grave de segurança, poderemos ser legalmente obrigados a transmitir as informações técnicas necessárias às autoridades competentes, ao CSIRT responsável e à ENISA, bem como informar os usuários afetados.

Sua identidade só será compartilhada na medida em que isso for legalmente exigido.

Reconhecimento

No momento, não oferecemos recompensas financeiras nem pagamentos de bug bounty, a menos que isso seja expressamente anunciado separadamente.

Se desejar, poderemos citar você em um Security Advisory ou em um agradecimento após a correção da vulnerabilidade. Informe-nos isso ao enviar sua notificação.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Alemanha E-mail: security@password-depot.de
Reportar vulnerabilidade