# https://raras.org/.well-known/security.txt
# Política de divulgação responsável de vulnerabilidades — Raras Health Ltda.
# Responsible disclosure policy for Raras Health Ltda.
#
# RFC 9116 — https://www.rfc-editor.org/rfc/rfc9116

Contact: mailto:security@raras.org
Contact: https://github.com/dimas-timmers/raras-app/security/advisories/new
Expires: 2027-06-30T23:59:59.000Z
Encryption: https://raras.org/.well-known/pgp-key.txt
Preferred-Languages: pt-BR, en
Canonical: https://raras.org/.well-known/security.txt
Policy: https://raras.org/seguranca/divulgacao-responsavel
Acknowledgments: https://raras.org/seguranca/agradecimentos
Hiring: https://raras.org/sobre#carreiras

# Português:
# Se você descobriu uma vulnerabilidade ou risco de segurança/privacidade
# em qualquer produto, serviço ou infraestrutura da Raras, por favor reporte
# via os canais acima. Pedimos:
#  - Não acesse, modifique ou exfiltre dados de outros usuários.
#  - Dê-nos prazo razoável para corrigir antes de divulgar publicamente (90d).
#  - Não execute DoS, social engineering ou testes em produção que afetem usuários reais.
# Reconhecemos e creditamos pesquisadores responsáveis no hall de honra acima.
#
# English:
# If you discover a security or privacy vulnerability in any Raras product,
# service or infrastructure, please report via the channels above. We ask:
#  - Do not access, modify or exfiltrate other users' data.
#  - Give us a reasonable window to fix before public disclosure (90 days).
#  - No DoS, social engineering or production tests that affect real users.
# We credit responsible researchers in the acknowledgments page above.