Política de Segurança — Origem Terra

Política de divulgação responsável de vulnerabilidades.

Reportar uma vulnerabilidade

Levamos a segurança do Origem Terra a sério. Se você descobriu uma vulnerabilidade, agradecemos a divulgação responsável.

Canal: security@origemterra.com

SLA de resposta

• Confirmação automática de recebimento: imediata
• Análise humana e classificação: até 2 dias úteis
• Avaliação inicial completa: até 7 dias corridos
• Comunicação de plano de correção: até 14 dias corridos para severidade alta/crítica

O que incluir no report

• Descrição clara da vulnerabilidade
• Passos para reproduzir (PoC mínimo)
• Impacto estimado
• Componente afetado (URL, endpoint, arquivo se aplicável)
• Sua identificação e contato (opcional, mas reconhecemos descobridores)

Safe harbor

Pesquisadores que agirem de boa-fé, não causarem prejuízo a usuários, não exfiltrarem dados além do mínimo necessário para PoC e divulgarem responsavelmente para o canal acima — não sofrerão ação legal por parte do Origem Terra.

Importante: este safe harbor cobre apenas ações por parte do Origem Terra. Não isenta o pesquisador de leis penais aplicáveis (Lei 12.737/2012, Código Penal Art. 154-A) nem de ações por parte de terceiros (operadores listados no escopo).

Não permitido:

• Acesso, modificação ou exfiltração de dados de outros usuários além de contas de teste suas
• Negação de serviço (DoS) ou degradação intencional
• Engenharia social contra colaboradores
• Phishing contra usuários
• Spam, scraping massivo ou abuso de filas

Escopo

Em escopo: https://origemterra.com e subdomínios, aplicação web admin e endpoints /api/*, fluxo de NDA / share links.

Fora de escopo: operadores terceiros (Anthropic, Google, Resend, hospedagem), site institucional estático, vulnerabilidades teóricas sem PoC explorável.

Recompensa

Não há programa de recompensa monetária (bug bounty) neste momento. Reconhecimento público com permissão é o único incentivo formal.

Conformidade

Operamos sob a LGPD (Lei 13.709/2018). Em caso de incidente com risco a titulares, comunicamos a ANPD conforme Art. 48 e os titulares afetados em prazo razoável.

Encarregado de Dados (DPO): em processo de designação. Até a designação formal, dúvidas relativas a privacidade e direitos do titular (LGPD Art. 18) também podem ser encaminhadas ao canal security@origemterra.com.

Reconhecimento

Pesquisadores que reportarem vulnerabilidades válidas serão reconhecidos publicamente (com permissão).

Última atualização: 2026-04-27