Última atualização: 22 de maio de 2026
Acolhemos relatórios de investigadores de segurança. Esta página descreve como reportar uma vulnerabilidade e o que esperar da nossa resposta. O equivalente legível por máquina conforme RFC 9116 está em /.well-known/security.txt.
Escreva para security@upinity.com com: descrição da vulnerabilidade, endpoint ou componente afetado, passos de reprodução e (se aplicável) um proof-of-concept. Por favor não divulgue vulnerabilidades publicamente antes de termos oportunidade de as confirmar e corrigir.
No âmbito: upinity.com (site marketing), app.upinity.com (aplicação SaaS), go.powerb.swiss (instância Mautic que gere os nossos formulários). Fora do âmbito: social engineering ou phishing ao pessoal POWERB, ataques de negação de serviço ou volumétricos, vulnerabilidades em serviços de terceiros dos quais dependemos (Stripe, fornecedores de hosting — reporte-os diretamente).
Confirmamos novos relatórios em 2 dias úteis. Avaliação inicial e classificação de severidade em 5 dias úteis. O cronograma de correção ou mitigação depende da severidade e é comunicado na nossa resposta de confirmação.
Atualmente não operamos um programa bug bounty pago. Os investigadores que reportam vulnerabilidades válidas de forma responsável são creditados num hall of fame público (com o seu consentimento) e recebem uma carta escrita de reconhecimento.
Procuramos alinhamento com os controlos SOC 2 e práticas ISO 27001. A conformidade RGPD / nLPD suíça é detalhada na nossa Política de Privacidade. Certificados de compliance específicos podem ser solicitados a sales@upinity.com sob NDA.
Não processaremos judicialmente investigadores que sigam esta política, ajam de boa fé, não acedam nem modifiquem dados além do necessário para demonstrar a vulnerabilidade, e não impactem a disponibilidade do serviço.