1. Introdução

A Bug Hunt Plataforma de Recompensa T.I. S.A. ("BugHunt") é titular de uma plataforma de Bug Bounty ("Plataforma"), que possibilita a intermediação entre clientes, instituições titulares de sistemas cibernéticos ("Clientes") e especialistas cibernéticos ("Especialistas"). A Plataforma permite que Clientes realizem uma proposta de recompensa (aqui referida como "Programas") a ser paga aos Especialistas devidamente registrados e homologados que buscarem, relatarem e/ou corrigirem as vulnerabilidades de tais sistemas.

Imperioso ressaltar que a BugHunt não possui qualquer ingerência sobre as regras dos Programas, eis que estas são de única e exclusiva responsabilidade dos Clientes. Nesta esteira, a BugHunt atua como intermediária entre Especialistas e Clientes, funcionando como um ecossistema onde estes dois atores poderão atuar.

Seja como for, a fim de construir uma reputação confiável e um ambiente adequado para a atuação de Clientes e Especialistas, a BugHunt entende necessária a definição e divulgação de princípios éticos e de condutas claros e em congruência com a legislação aplicável, a serem seguidos por todos os Especialistas e Clientes que, de alguma forma, participarem ou integrarem a Plataforma.

Pensando nisso, a BugHunt desenvolveu este Código de Conduta ("Código"), que reúne as principais diretrizes de comportamento que os Clientes e, principalmente, Especialistas devem demonstrar para conduzir as atividades na Plataforma, bem como as relações e interações entre eles e a BugHunt.

Mais do que uma norma, este Código apresenta as condutas, o compromisso e as melhores práticas adotadas pela BugHunt para garantir um convívio harmonioso na comunidade de Especialistas existente na Plataforma.

O presente Código deve ser lido e interpretado em conjunto as demais políticas internas da BugHunt (em conjunto, "Políticas BugHunt"), acessíveis através do endereço eletrônico https://www.bughunt.com.br/.

Ademais, um Programa pode incluir regras adicionais de envolvimento ou conduta do Especialista, bem como sanções aplicáveis. Deste modo, os Especialistas devem se ater, também, às políticas do Programa antes de aderi-lo.

2. Adesão

Ao participar ou integrar a Plataforma, os Especialistas concordam com todas as disposições contidas neste Código e nas Políticas BugHunt, concordando ainda em segui-las integralmente, sob pena de exclusão da Plataforma, sem prejuízo da adoção das medidas que a BugHunt julgue cabíveis.

3. Valores

Os valores são fundamentos, regras e conceitos básicos que precisam estar presentes na essência de qualquer um que deseje manter relação com a BugHunt e, consequentemente, atuar na Plataforma.

Os padrões de conduta a serem observados pelos Especialistas e Clientes são os seguintes:

• a. Atuação pautada em credibilidade, confidencialidade, respeito, ética, imparcialidade, honestidade e profissionalismo;
• b. Defesa da igualdade de oportunidade e um ambiente de trabalho livre de qualquer tipo de discriminação e assédio;
• c. Aderência à legislação aplicável; e
• d. Diálogo construtivo, transparente e aberto.

4. Regras de Conduta dos Especialistas

É fundamental que as atitudes e comportamentos desenvolvidos na Plataforma sema condizentes com os padrões definidos neste Código, de modo que os Especialistas não sejam omissos nem coniventes com atitudes reprováveis e antiéticas. Para tanto, os Especialistas devem observar as seguintes condutas:

• a. Atuar com honra e caráter, observando os mais altos padrões de integridade e de negociação justa, repudiando qualquer forma de corrupção;
• b. Apresentar conduta profissional com competência e diligência;
• c. Cooperar e desenvolver bom relacionamento com Clientes, parceiros, fornecedores, órgãos reguladores e a sociedade em geral;
• d. Estar atento aos objetivos dos Clientes;
• e. Manter sigilo profissional;
• f. Abster-se de comentários públicos sobre os Clientes; e
• g. Observar as regras e políticas dos Programas.

São consideradas condutas inaceitáveis, entre outras:

• a. Ocultar erros, rasurar ou adulterar documentos, cadastros ou ainda, criar registros falsos para induzir outras pessoas a entendimentos incorretos;
• b. Usar seu cargo, função ou informações para influenciar decisões que venham a favorecer interesses próprios ou de terceiros;
• c. Praticar atos ilícitos ou corruptivos de qualquer natureza;
• d. Manifestar-se publicamente em nome da BugHunt ou Clientes, sem prévia autorização;
• e. Fazer declaração depreciativa que afete a reputação da BugHunt;
• f. Representar ou falar em nome da BugHunt na internet, salvo se expressamente autorizado;
• g. Utilizar sem autorização a logomarca da BugHunt ou de Clientes;
• h. Emitir opiniões, deixar subentendido ou insinuar que você manifesta as posições oficiais da BugHunt;
• i. Praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional;
• j. Divulgar ou compartilhar imagens, vídeos ou informações internas da BugHunt e/ou Clientes que não tenham sido divulgados nos canais oficiais;
• k. Fazer, na internet (e fora dela), comentários ofensivos, difamatórios, caluniosos e preconceituosos a qualquer Cliente ou BugHunt; e
• l. Publicar informações sobre Clientes, parceiros e fornecedores, em qualquer meio.

5. Vedações

Sem prejuízo das demais vedações previstas neste Código e Políticas BugHunt, os Especialistas não poderão realizar os seguintes atos:

• a. Testes inseguros

  Os Especialistas não devem realizar testes inseguros sem autorização prévia. Isto inclui (mas não está limitado a): explorar uma vulnerabilidade além do necessário para mostrar o impacto (ou seja, acessar quantidades excessivas de informações internas do cliente, despejar um banco de dados, etc.), obter acesso e usar contas ou credenciais de produção não aprovadas pela política do Programa, alterando informações de produção ou de banco de dados ou causando uma negação de serviço, ou de outra forma impactando a estabilidade dos sistemas do Cliente fora das políticas de teste de referido Programa.

b. Engenharia Social

Os Especialistas não devem realizar testes de engenharia social, sem autorização prévia, fazer engenharia social de outra parte através da representação de um funcionário da BugHunt, de outro Especialistas, ou de um membro do Programa ou de uma equipe de segurança.

c. Uso de software ilegal ou falsificado

Os Especialistas são os únicos responsáveis pelas ferramentas que utilizam, as quais devem ser lícitas e adquiridas legalmente. Se for levado ao conhecimento da BugHunt que software ilegal ou falsificado foi usado, a BugHunt será obrigada a tomar as medidas apropriadas, incluindo possíveis sanções sob este Código.

d. Extorsão

Estão vedadas as tentativas de se obter recompensas, dinheiro ou serviços por meio de atos de ameaça ou coerção.

e. Contornando uma proibição

Os Especialistas não poderão contornar o banimento de um Programa ou da Plataforma criando novas contas. Fazer isso resultará no banimento imediato e permanente da Plataforma.

f. Uso de canais de comunicação não oficiais

Estão apenas permitidos o uso de canais de comunicação aprovados para discutir vulnerabilidades detectadas pelos Especialistas, no caso a Plataforma. A menos que o Programa tenha fornecido intencionalmente um método de contato alternativo em sua política do Programa, entrar em contato com as equipes de segurança “fora da banda” sobre relatórios enviados na plataforma da BugHunt é uma violação deste Código.

6. Diretrizes de divulgação

Para os fins deste Código, caracterizam-se como confidenciais ("Informações Confidenciais"): quaisquer documentos, e-mails, metodologias, técnicas ou procedimentos, segredos comerciais, softwares, sistemas, know-how, tecnologias, bem como informações (escritas ou verbais) e dados referentes à BugHunt, aos Clientes e seus Programas.

Salvo mediante autorização prévia, os Especialistas se obrigam a manter a mais absoluta confidencialidade das Informações Confidenciais que vierem a ter acesso em decorrência de seu relacionamento com a BugHunt e os Clientes.

As Informações Confidenciais fornecidas ou recebidas podem dar origem a obrigações legais e regulamentares de não divulgação e de utilização apenas para propósito para as quais foram fornecidas.

7. Sanções

O Especialista que descumprir este Código ficará sujeito à suspensão ou exclusão da Plataforma, sem prejuízo da ação das medidas judiciais (cíveis e criminais) cabíveis.

O Especialista que deliberadamente deixar de notificar violações a este Código ou omitir informações relevantes também estará sujeito às medidas disciplinares mencionadas acima.