Tokiadocs
⌘K

← Segurança Tokia

Responsible Disclosure

Como reportar vulnerabilidades de segurança no Tokia. Operamos com filosofia coordinated disclosure — você reporta privado, a gente fixa, depois pública (com crédito a você se quiser).

Reportar agora: security@usetokia.com (preferido) OU contato@usetokia.com.
Inclua: descrição da vulnerabilidade, passos pra reproduzir, impacto estimado, seu nome (se quiser crédito).
SLA primeira resposta: 48h úteis.

Escopo

Vulnerabilidades nestes ativos qualificam pra disclosure (e potencial reconhecimento):

  • usetokia.com + www.usetokia.com (landing + dashboard)
  • api.usetokia.com (gateway IA OpenAI-compatible)
  • chat.usetokia.com + chat-dev.usetokia.com (Tokia Chat fork LibreChat)
  • Apps Logto em auth.toolpad.cloud (apenas Apps Tokia — Logto upstream out of scope)
  • SDKs publicados: @tokia/sdk, @tokia/cli

Fora de escopo

  • Vulnerabilidades em sub-processadores (reportar pra OpenRouter/Fal.ai/Google direto)
  • Phishing ou engenharia social
  • Bugs de UX sem impacto de segurança
  • Volumetric DoS / DDoS — use rate limit cap normal
  • Self-XSS / clickjacking sem PoC de impacto
  • Vulnerabilidades em browser/OS desatualizado
  • Reports de scanners automatizados sem PoC manual

O que NÃO fazer

  • ❌ Não exfiltre dados de outros users
  • ❌ Não execute pen test agressivo sem autorização prévia (rate limit ban)
  • ❌ Não divulgue publicamente até a gente fixar (90d máximo, normal 30d)
  • ❌ Não use cobrança em produção pra teste (use ambiente dev se possível)

Processo

  1. Você reporta via email (acima) com PoC mínimo
  2. Tokia acknowledge em 48h úteis com triagem inicial (severity, impacto, prazo de fix)
  3. Fix implementado seguindo severity:
    • Critical: 7 dias
    • High: 30 dias
    • Medium: 90 dias
    • Low: backlog
  4. Validação conjunta — reporter testa fix antes de publicar
  5. Disclosure pública em /status + RCA, com crédito a você (a menos que peça anonimato)

Safe harbor

Pesquisadores que sigam esta política em boa-fé:

  • NÃO serão alvo de ação legal por exploration responsável
  • NÃO terão conta suspensa enquanto investigam (peça permissão antes de pen test)
  • SERÃO creditados publicamente se desejarem
  • RECEBERÃO um swag IT Booster (camiseta, adesivo) pós-fix de severity Medium+ — não temos bug bounty $$ ainda, mas estamos avaliando pra 2027

Reconhecimento

Hall of Fame de pesquisadores que ajudaram melhorar Tokia (vazio por enquanto — seja o primeiro!):

  • (em breve)

PGP

Pra reports particularmente sensíveis, use PGP — chave pública em /.well-known/pgp-key.txt (em breve; envie clear-text por enquanto).

Política versão 1.0 (2026-05-20). Próxima revisão programada: 2027-05-20. Texto machine-readable em /.well-known/security.txt (RFC 9116).