Seguridad
Cómo reportar una vulnerabilidad, qué está dentro del alcance y qué esperar de Swepay.
Para reportar un problema de seguridad que afecte la infraestructura de Swepay o este sitio, escribí a security@swepay.com.br. Acusamos recibo en un día hábil y buscamos resolver problemas confirmados dentro de 30 días. Por favor, no abrás issues públicos en GitHub para reportes de seguridad.
Dentro del alcance: el sitio institucional (swepay.co, swepay.com.br) y cualquier endpoint de infraestructura de identidad en producción alcanzable desde internet pública bajo *.swepay.co o *.swepay.com.br. Fuera del alcance: ingeniería social al personal, denial-of-service por tráfico volumétrico y servicios de terceros que no operamos (Cloudflare, registrars, Google Fonts).
La publicación de la clave PGP está en el roadmap. Hasta entonces, enviá reportes sin cifrar a security@swepay.com.br y coordinamos el intercambio de clave. Esta página refleja la intención operacional actual; la política formal está siendo finalizada por asesoría jurídica.