Política de Divulgação Responsável

Envie detalhes da vulnerabilidade por email. Inclua passos pra reproduzir, impacto estimado e qualquer evidência (screenshot, request, payload).

• Email: bruno.arozio@gmail.com
• PGP: chave pública ainda não disponível. Reportes em texto-claro são aceitos por enquanto.

• Confirmação de recebimento em até 3 dias úteis.
• Triagem inicial e classificação de severidade em até 7 dias úteis.
• Atualizações periódicas a cada 14 dias durante a investigação.
• Notificação quando a correção for deployada.

O programa cobre infraestrutura e código de propriedade da Nexio. Subprocessadores (Vercel, Supabase, etc.) têm seus próprios programas — reporte direto a eles.

Dentro do escopo:

• Domínio principal e subdomínios da Nexio (incluindo apps em Vercel).
• API endpoints públicos e autenticados.
• Autenticação, autorização, escalonamento de privilégio.
• Vazamento de dados entre tenants (cross-tenant data leakage).

Fora do escopo:

• Infraestrutura de subprocessadores (reporte a eles diretamente).
• Engenharia social, phishing contra funcionários ou clientes.
• Ataques físicos a instalações ou hardware.
• Vulnerabilidades em bibliotecas de terceiros sem impacto demonstrável na plataforma.

• Não acesse, modifique ou exfiltre dados que não sejam seus de teste.
• Não execute ataques de DoS, fuzzing massivo ou spam.
• Não divulgue publicamente a vulnerabilidade antes de coordenar a correção conosco (90 dias máximo).
• Use contas de teste próprias. Não pivote pra contas reais de clientes.
• Atue de boa-fé. Pesquisadores que cumprirem estas regras não serão alvo de ação legal.

A Nexio ainda não opera um programa pago de bug bounty. Reconhecemos publicamente pesquisadores que reportarem vulnerabilidades válidas (com sua autorização) em uma página de Hall of Fame, em construção.

Endpoints públicos e não autenticados para monitoramento externo (UptimeRobot, Pingdom, Better Uptime). Nunca expõem dado de tenant.

• /api/health — liveness básico (sempre 200 enquanto o serviço estiver no ar).
• /api/ready — readiness (retorna 503 se Supabase, chaves de criptografia ou envs obrigatórias estiverem indisponíveis).

Todo payload enviado a provedores LLM (Anthropic Claude) passa por um pipeline de redaction server-side antes de sair do Nexio. PIIs detectadas são substituídas por tags tipadas (ex.: [REDACTED:CPF], [REDACTED:EMAIL]) — o modelo entende o contexto sem ver o dado real.

Categorias cobertas hoje: CPF/CNPJ/CEP/telefone (BR), DNI/NIE/telefone (ES), IBAN, e-mail e cartão de crédito (validação Luhn).

Contadores de redaction por chamada ficam em ai_usage_events.metadata.pii_redaction pra auditoria.

Super admins podem desligar IA para uma empresa inteira, uma integração específica ou um message type, em /admin/ai-settings. Por padrão a IA fica ligada. A regra mais específica vence (message_type > integration > empresa).

Integrações manuais com SOAP ou REST podem fazer upload de certificado PKCS#12 (.pfx/.p12) + senha. O servidor valida o arquivo, extrai metadata (subject/issuer/serial/validade) e armazena binário + senha criptografados com AES-256-GCM. Usado em webservices SEFAZ NF-e e outros endpoints mTLS.