Atualmente oferecemos suporte de segurança para as seguintes versões do PetCare AI Assistant:
| Versão | Suporte de Segurança |
|---|---|
| 1.0.x | ✅ Suportada |
| 0.9.x | ✅ Suportada |
| < 0.9 | ❌ Não suportada |
A segurança dos usuários e seus dados sobre pets é nossa prioridade máxima. Se você descobrir uma vulnerabilidade de segurança, por favor, siga estes passos:
- Issues públicas podem expor a vulnerabilidade antes da correção
- Use sempre os canais privados listados abaixo
Email Preferencial: security@petcareai.com.br
Diretor de TI: estevam.souza@petcareai.com.br
Assunto: [SECURITY] Vulnerabilidade no PetCare AI Assistant
Inclua no seu reporte:
- 📝 Descrição detalhada da vulnerabilidade
- 🔄 Passos para reproduzir o problema
- 💻 Versão afetada do software
- 🌐 Navegadores/sistemas operacionais testados
- 📊 Impacto potencial da vulnerabilidade
- 🛠️ Sugestões de correção (se houver)
VULNERABILIDADE DE SEGURANÇA - PetCare AI Assistant
Descrição:
[Descreva a vulnerabilidade encontrada]
Reprodução:
1. [Passo 1]
2. [Passo 2]
3. [Resultado]
Ambiente:
- Versão: [versão do software]
- Navegador: [nome e versão]
- SO: [sistema operacional]
Impacto:
[Descrição do impacto potencial]
Evidências:
[Screenshots, logs, ou outros arquivos - SEM dados sensíveis]
Nos comprometemos com os seguintes tempos de resposta:
| Severidade | Primeira Resposta | Investigação | Correção |
|---|---|---|---|
| 🔴 Crítica | 2 horas | 24 horas | 48 horas |
| 🟡 Alta | 24 horas | 72 horas | 7 dias |
| 🟢 Média | 72 horas | 1 semana | 2 semanas |
| 🔵 Baixa | 1 semana | 2 semanas | 1 mês |
- Execução remota de código
- Bypass de autenticação
- Acesso não autorizado a dados de pets
- Vulnerabilidades que afetam múltiplos usuários
- Cross-Site Scripting (XSS) persistente
- SQL Injection em endpoints sensíveis
- Escalação de privilégios
- Exposição de chaves de API
- XSS refletido
- Cross-Site Request Forgery (CSRF)
- Vazamento de informações menores
- Bypass de controles de segurança
- Problemas de configuração
- Divulgação de informações não sensíveis
- Problemas de validação de entrada
- Content Security Policy (CSP): Headers rigorosos
- XSS Protection: Sanitização de todos os inputs
- HTTPS Only: Comunicação sempre criptografada
- Secure Headers: HSTS, X-Frame-Options, etc.
- Input Validation: Validação client-side rigorosa
- Rate Limiting: Proteção contra ataques de força bruta
- API Key Protection: Chaves nunca expostas no cliente
- Request Validation: Validação de todos os payloads
- Error Handling: Não exposição de informações sensíveis
- CORS Policy: Política restritiva de CORS
- No Data Storage: Não armazenamos conversas
- Local Processing: Dados processados localmente quando possível
- Minimal Data: Coletamos apenas dados essenciais
- LGPD Compliance: Conformidade com lei brasileira
✅ Aplicação React.js principal
✅ Integração com API Gemini
✅ Funcionalidade de reconhecimento de voz
✅ Sistema de download da API
✅ Todos os componentes frontend
❌ APIs de terceiros (Google Gemini)
❌ Infraestrutura de hospedagem
❌ Ataques de engenharia social
❌ Vulnerabilidades físicas
❌ Ataques DDoS
Reconhecemos a importância dos pesquisadores de segurança e oferecemos:
| Severidade | Recompensa |
|---|---|
| 🔴 Crítica | R$ 1.000 - R$ 5.000 |
| 🟡 Alta | R$ 500 - R$ 1.500 |
| 🟢 Média | R$ 100 - R$ 500 |
| 🔵 Baixa | Reconhecimento público |
- ✅ Primeira descoberta da vulnerabilidade
- ✅ Reporte seguindo o processo correto
- ✅ Colaboração durante investigação
- ✅ Aguardar correção antes de divulgação pública
Pesquisadores que contribuem significativamente são reconhecidos em:
- 🏆 Página de segurança do projeto
- 📱 Seção especial no README
- 🎉 Redes sociais da PetCare AI
- 📧 Newsletter de segurança
- ESLint Security Plugin: Detecção de problemas de segurança
- Audit Automatizado: npm audit em CI/CD
- Dependency Check: Verificação de dependências vulneráveis
- Code Scanning: GitHub Advanced Security
- Penetration Testing: Testes regulares
- Vulnerability Scanning: Scans automatizados
- Security Headers: Verificação de headers
- SSL/TLS Testing: Análise de configuração
- Error Tracking: Sentry para monitoramento de erros
- Log Analysis: Análise de logs de segurança
- Intrusion Detection: Detecção de tentativas de intrusão
- Performance Monitoring: Detecção de anomalias
- 🎓 Workshops de segurança para desenvolvedores
- 📖 Documentação de práticas seguras
- 🔄 Revisões de código focadas em segurança
- 🎯 Testes de consciência de segurança
- Detecção (0-2h): Identificação e confirmação
- Contenção (2-6h): Isolamento e mitigação
- Investigação (6-24h): Análise forense
- Correção (24-72h): Implementação da solução
- Comunicação (Contínua): Atualizações aos usuários
- Aprendizado (1 semana): Revisão e melhorias
- 📧 Email: Para usuários diretamente afetados
- 🌐 Website: Status page com atualizações
- 📱 Redes Sociais: Comunicados públicos
- 📝 Blog: Post-mortem detalhado
# Configurações de produção recomendadas
REACT_APP_ENV=production
REACT_APP_API_URL=https://api.petcareai.com.br
HTTPS=true
GENERATE_SOURCEMAP=falseContent-Security-Policy: default-src 'self'
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=()
Monitoramos regularmente:
- 📈 Tempo médio de detecção de vulnerabilidades
- ⚡ Tempo médio de correção
- 🎯 Taxa de falsos positivos
- 📊 Número de vulnerabilidades por categoria
- 🔍 Cobertura de testes de segurança
Coordenador de Segurança: Estevam Souza
📧 estevam.souza@petcareai.com.br
📱 +55 (48) 9 9999-9999
Email Geral: security@petcareai.com.br
🌐 Website: https://petcareai.com.br/security
💬 Discord: #security (convite necessário)
- 🌅 Horário Comercial: Segunda a Sexta, 9h às 18h (BRT)
- 🚨 Emergências: 24/7 para vulnerabilidades críticas
- 📱 Resposta: Máximo 2 horas para questões críticas
| Data | Versão | Mudanças |
|---|---|---|
| 2025-07-01 | 1.0 | Política inicial de segurança |
Última atualização: 05/08/2025
Próxima revisão: 01/10/2025
Mantenedor: Estevam Souza - Diretor de TI PetCare AI