Responsible Disclosure
Como reportar vulnerabilidades de segurança no Tokia. Operamos com filosofia coordinated disclosure, você reporta privado, a gente fixa, depois pública (com crédito a você se quiser).
Escopo
Vulnerabilidades nestes ativos qualificam pra disclosure (e potencial reconhecimento):
usetokia.com+www.usetokia.com(landing + dashboard)api.usetokia.com(gateway IA OpenAI-compatible)chat.usetokia.com+chat-dev.usetokia.com(Tokia Chat)- SDKs publicados:
@tokia/sdk,@tokia/cli
Fora de escopo
- Vulnerabilidades em sub-processadores (reportar pro provedor de IA correspondente)
- Phishing ou engenharia social
- Bugs de UX sem impacto de segurança
- Volumetric DoS / DDoS, use rate limit cap normal
- Self-XSS / clickjacking sem PoC de impacto
- Vulnerabilidades em browser/OS desatualizado
- Reports de scanners automatizados sem PoC manual
O que NÃO fazer
- Não exfiltre dados de outros users
- Não execute pen test agressivo sem autorização prévia (rate limit ban)
- Não divulgue publicamente até a gente fixar (90d máximo, normal 30d)
- Não use cobrança em produção pra teste (use ambiente dev se possível)
Processo
- Você reporta via email (acima) com PoC mínimo
- Tokia acknowledge em 48h úteis com triagem inicial (severity, impacto, prazo de fix)
- Fix implementado seguindo severity:
- Critical: 7 dias
- High: 30 dias
- Medium: 90 dias
- Low: backlog
- Validação conjunta, reporter testa fix antes de publicar
- Disclosure pública em /status + RCA, com crédito a você (a menos que peça anonimato)
Safe harbor
Pesquisadores que sigam esta política em boa-fé:
- NÃO serão alvo de ação legal por exploration responsável
- NÃO terão conta suspensa enquanto investigam (peça permissão antes de pen test)
- SERÃO creditados publicamente se desejarem
- RECEBERÃO um swag IT Booster (camiseta, adesivo) pós-fix de severity Medium+, não temos bug bounty $$ ainda, mas estamos avaliando pra 2027
Reconhecimento
Hall of Fame de pesquisadores que ajudaram melhorar Tokia (vazio por enquanto — seja o primeiro!):
- (em breve)
PGP
Pra reports particularmente sensíveis, use PGP, chave pública em /.well-known/pgp-key.txt (em breve; envie clear-text por enquanto).
Política versão 1.0 (2026-05-20). Próxima revisão programada: 2027-05-20. Texto machine-readable em /.well-known/security.txt (RFC 9116).