Proton
Última alteração: 30 de julho de 2025

Política de divulgação de vulnerabilidades

Como uma empresa fundada por cientistas que se conheceram no CERN, acreditamos na revisão por pares. É por isso que apoiamos a comunidade de segurança independente para nos ajudar a manter a segurança dos nossos sistemas e proteger informações sensíveis contra a divulgação não autorizada. Encorajamos os investigadores de segurança a contactarem-nos para reportar potenciais vulnerabilidades identificadas nos produtos Proton.

Esta política especifica:

  • Que sistemas e aplicações estão no âmbito
  • Que tipos de métodos de investigação de segurança estão abrangidos
  • Como nos reportar potenciais vulnerabilidades de segurança
  • A nossa filosofia de divulgação de vulnerabilidades e quanto tempo pediremos que aguarde antes de divulgar vulnerabilidades publicamente

A Proton confirmará a receção de relatórios que cumpram a política de divulgação de vulnerabilidades no prazo de cinco (5) dias úteis. Aquando da receção, esforçar-nos-emos por validar as submissões, implementar ações corretivas (se apropriado) e informar os investigadores sobre a situação das vulnerabilidades reportadas com a mínima demora.

Se fizer um esforço de boa-fé para cumprir esta política durante a sua investigação de segurança, consideraremos a sua investigação autorizada de acordo com a política legal de "safe harbor" da Proton. Trabalharemos consigo para compreender e resolver o problema rapidamente e não recomendaremos nem instauraremos ações legais contra si por qualquer das suas ações relacionadas com a sua investigação.

Métodos de teste

Os investigadores de segurança não devem:

  • Testar qualquer sistema que não os sistemas estabelecidos na secção Âmbito abaixo
  • Divulgar informações sobre vulnerabilidades, exceto conforme estabelecido nas secções Reportar uma vulnerabilidade e Divulgação abaixo
  • Envolver-se em testes físicos de instalações ou recursos
  • Envolver-se em engenharia social
  • Enviar correio eletrónico não solicitado a utilizadores da Proton, incluindo mensagens de "phishing"
  • Executar ou tentar executar ataques de "negação de serviço" ou de "esgotamento de recursos"
  • Introduzir software malicioso nos sistemas da Proton ou de terceiros
  • Realizar testes que possam degradar o funcionamento dos sistemas da Proton ou intencionalmente prejudicar, interromper ou desativar sistemas SEC
  • Testar aplicações, sítios web ou serviços de terceiros que se integrem, ou tenham ligações para ou a partir de sistemas da Proton
  • Eliminar, alterar, partilhar, reter ou destruir dados da Proton, ou tornar dados da Proton inacessíveis
  • Utilizar uma exploração para exfiltrar dados, estabelecer acesso por linha de comandos, estabelecer uma presença persistente nos sistemas da Proton ou "pivotar" para outros sistemas da Proton

Os investigadores de segurança podem:

  • Visualizar ou armazenar dados não públicos da Proton apenas na medida necessária para documentar a presença de uma potencial vulnerabilidade

Os investigadores de segurança devem:

  • Cessar os testes e notificar-nos imediatamente aquando da descoberta de uma vulnerabilidade
  • Cessar os testes e notificar-nos imediatamente aquando da descoberta de uma exposição de dados não públicos
  • Eliminar quaisquer dados não públicos armazenados aquando do reporte de uma vulnerabilidade

Âmbito

Os seguintes sistemas e serviços estão no âmbito:

Proton

  • O nosso sítio web, protnn.me
  • A aplicação web account.protnn.me

Proton Calendar

  • A aplicação web calendar.protnn.me
  • Aplicações Proton Calendar (Android e iOS/iPad)

Proton Drive

  • A aplicação web drive.protnn.me
  • Aplicações Proton Drive (Android, iOS/iPad [em beta] e Windows)

Proton Docs

  • A aplicação web docs.protnn.me

Proton Mail

  • A aplicação web mail.protnn.me
  • A aplicação web api.protonmail.ch
  • Aplicações móveis Proton Mail (Android e iOS/iPad)
  • Aplicações Proton Bridge (GNU/Linux, macOS e Windows)
  • Proton Scribe

Proton Pass

  • A aplicação web pass.protnn.me
  • Aplicações móveis Proton Pass (Android, iOS/iPad)
  • Aplicações de ambiente de trabalho Proton Pass (Linux, macOS e Windows)
  • Extensões web do Proton Pass (Chrome e Firefox)

Proton Authenticator

  • Aplicações móveis Proton Authenticator (Android, iOS/iPad)
  • Aplicações de ambiente de trabalho Proton Authenticator (Linux, macOS e Windows)

Proton VPN

  • O nosso sítio web da VPN, protonvpn.com
  • A aplicação web account.protonvpn.com
  • a aplicação web api.protonvpn.ch
  • Aplicações Proton VPN (Android, iOS/iPad, Linux, macOS e Windows)
  • Extensões web do Proton VPN (Android TV, Apple TV, Chrome, Chromebook e Firefox)

Proton Wallet

  • A aplicação web wallet.protnn.me
  • Aplicações Proton Wallet (Android, iOS)

Lumo da Proton

  • A aplicação web lumo.protnn.me
  • Aplicações Proton Lumo (Android, iOS)

SimpleLogin

  • O sítio web simplelogin.io
  • A aplicação web app.simplelogin.io
  • As aplicações móveis SimpleLogin (Android e iOS)
  • As extensões de navegador SimpleLogin (Chrome, Edge, Firefox e Safari)

Standard Notes

  • O sítio web standardnotes.com
  • A aplicação web app.standardnotes.com
  • Aplicações Standard Notes (Android, iOS/iPad, Linux, macOS e Windows)

Quaisquer serviços não listados explicitamente acima estão excluídos do âmbito desta política. Para que fique claro, isto inclui, mas não se limita a:

  • Spam
  • Técnicas de engenharia social
  • Ataques de negação de serviço
  • A injeção de conteúdo está fora do âmbito, a menos que consiga demonstrar claramente um risco significativo para a Proton ou para os seus utilizadores
  • Execução de scripts em domínios isolados ("sandbox")
  • Relatórios de falhas da aplicação móvel que não sejam reproduzíveis em versões atualizadas do SO ou em dispositivos móveis lançados nos últimos dois (2) anos civis
  • Problemas de segurança fora do âmbito da missão da Proton
  • Erros que exijam interações extremamente improváveis do utilizador
  • Erros no WordPress (por favor, reporte-os ao WordPress)
  • Erros em shop.protnn.me (por favor, reporte-os à Shopify)
  • Erros em protnn.me/support/contact, protonmail.zendesk.com, support.protonmail.com e help.protonmail.com (por favor, reporte-os à Zendesk)
  • Erros em status.protnn.me (por favor, reporte-os à Atlassian)
  • Provas de conceito que exijam acesso físico ao dispositivo
  • Software desatualizado — Por várias razões, nem sempre executamos as versões de software mais recentes, mas executamos software com todas as correções de segurança aplicadas
  • Falhas que afetem navegadores desatualizados
  • Erros em partners.protnn.me (por favor, reporte-os à TUNE)
  • Erros em localize.protnn.me (por favor, reporte-os à Discourse)

Reportar uma vulnerabilidade

Os relatórios são aceites via correio eletrónico para security@protnn.me. Os formatos de mensagem aceitáveis são texto simples, texto formatado e HTML. Encorajamos a encriptação dos envios utilizando a nossa chave pública PGP ao submeter vulnerabilidades.

  • Preferimos relatórios que incluam código de prova de conceito que demonstre a exploração da vulnerabilidade.
  • Os relatórios devem fornecer uma descrição técnica detalhada dos passos necessários para reproduzir a vulnerabilidade, incluindo uma descrição de quaisquer ferramentas necessárias para identificar ou explorar a vulnerabilidade.
  • Imagens (por exemplo, capturas de ecrã) e outros documentos podem ser anexados aos relatórios. É útil dar nomes ilustrativos aos anexos.
  • Pedimos que quaisquer scripts ou códigos de exploração sejam incorporados em tipos de ficheiros não executáveis.
  • Podemos processar todos os tipos de ficheiros e arquivos comuns, incluindo zip, 7zip e gzip.

Os investigadores podem enviar relatórios anonimamente ou fornecer informações de contacto, incluindo como e quando a equipa de Segurança da Proton os deve contactar. Poderemos contactar os investigadores para esclarecer aspetos do relatório submetido ou recolher outras informações técnicas.

Ao submeter um relatório à Proton, declara que o relatório e quaisquer anexos não violam os direitos de propriedade intelectual de terceiros. Também concede à Proton uma licença não exclusiva, isenta de royalties, mundial e perpétua para utilizar, reproduzir, criar trabalhos derivados e publicar o relatório e quaisquer anexos.


Divulgação

A Proton compromete-se a corrigir as vulnerabilidades de forma atempada. Trabalharemos diligentemente para resolver quaisquer problemas que coloquem a nossa comunidade em risco. Pedimos a todos os investigadores que tenham paciência enquanto examinamos os relatórios que nos enviam, uma vez que a divulgação pública de uma vulnerabilidade na ausência de uma ação corretiva prontamente disponível provavelmente aumenta, em vez de diminuir, o risco de segurança da nossa comunidade.

Nesse sentido, exigimos que se abstenha de partilhar informações sobre vulnerabilidades descobertas durante 120 dias corridos após ter recebido a nossa confirmação de receção do seu relatório. Se considerar que outros devem ser informados sobre a vulnerabilidade antes da nossa implementação de ações corretivas, deve coordenar antecipadamente com a equipa de Segurança da Proton.

Poderemos partilhar relatórios de vulnerabilidade com fornecedores afetados. Não partilharemos os nomes ou dados de contacto de investigadores de segurança, a menos que nos seja dada permissão explícita.


Perguntas?

Perguntas relacionadas com esta política podem ser enviadas para security@protnn.me. A Proton incentiva os investigadores de segurança a contactarem-nos para esclarecimentos sobre qualquer elemento desta política.

Por favor, contacte-nos se não tiver a certeza se um método de teste específico é inconsistente com esta política ou se não é abordado pela mesma, antes de iniciar os testes. Convidamos também os investigadores de segurança a contactarem-nos com sugestões para melhorar esta política.


Em caso de discrepância entre a versão inglesa deste conteúdo e qualquer versão traduzida, a versão inglesa prevalecerá.