# Eyou Comunicação — Política de Divulgação Responsável (RFC 9116)
# Eyou Communications — Responsible Disclosure Policy (RFC 9116)

Contact: mailto:suporte@eyou.com.br
Expires: 2027-05-19T00:00:00.000Z
Encryption: https://eyou.com.br/.well-known/security.txt
Preferred-Languages: pt, en, es
Canonical: https://eyou.com.br/.well-known/security.txt
Policy: https://eyou.com.br/responsible-disclosure/
Acknowledgments: https://eyou.com.br/responsible-disclosure/#acknowledgments

# Reporting guidelines / Diretrizes de reporte:
# - Send PoC privately to the contact above — DO NOT publish before coordination.
# - We respond within 5 business days. Critical issues acknowledged within 24h.
# - We do NOT pursue legal action against good-faith researchers who follow this policy.
#
# In scope (production):
#   - eyou.com.br · www.eyou.com.br  (public marketing site)
#   - authy.eyou.com.br              (customer portal)
#   - sms.eyou.com.br                (customer SMS panel)
#
# Out of scope:
#   - Embedded third-party services (Mercado Pago, Google reCAPTCHA, OCI managed)
#   - Social engineering against employees, partners or customers
#   - Volumetric DDoS / DoS
#   - Internal-only services not listed above (report via contractual channel
#     if you are a contracted customer).

# Envie a PoC privadamente ao contato acima — NÃO publique antes da coordenação.
# Respondemos em até 5 dias úteis. Críticos confirmados em até 24h.
# NÃO movemos ação legal contra pesquisadores de boa-fé que sigam esta política.
#
# Em escopo (produção):
#   - eyou.com.br · www.eyou.com.br  (site público institucional)
#   - authy.eyou.com.br              (portal cliente)
#   - sms.eyou.com.br                (painel SMS do cliente)
#
# Fora de escopo:
#   - Serviços terceiros embedados (Mercado Pago, Google reCAPTCHA, OCI managed)
#   - Engenharia social contra funcionários, parceiros ou clientes
#   - DDoS / DoS volumétrico
#   - Serviços internos não listados (clientes contratuais reportam pelo canal
#     do contrato).