Segurança
Como reportar uma vulnerabilidade, o que está no escopo e o que esperar da Swepay.
Para reportar uma questão de segurança que afete a infraestrutura da Swepay ou este site, envie para security@swepay.com.br. Confirmamos o recebimento em até um dia útil e buscamos resolver questões confirmadas em até 30 dias. Por favor, não abra issues públicas no GitHub para reportes de segurança.
No escopo: o site institucional (swepay.co, swepay.com.br) e qualquer endpoint de infraestrutura de identidade em produção alcançável pela internet pública sob *.swepay.co ou *.swepay.com.br. Fora do escopo: engenharia social com colaboradores, denial-of-service via tráfego volumétrico e serviços de terceiros que não operamos (Cloudflare, registrars, Google Fonts).
A publicação da chave PGP está no roadmap. Até lá, envie reportes sem criptografia para security@swepay.com.br e a gente combina a troca de chave. Esta página reflete a intenção operacional atual; a política formal está sendo finalizada por assessoria jurídica.