Segurança e Divulgação de Vulnerabilidades — Smart Metrics AI

Esta página descreve a postura de segurança do Smart Metrics AI, como relatar uma vulnerabilidade e como respondemos a incidentes de segurança. Ela complementa nossa Política de Privacidade e os Termos de Uso.

1. Postura de Segurança

O Smart Metrics AI é um app 100% Atlassian Forge. Isso define todo o nosso modelo de segurança:

• Sem infraestrutura externa. Não há servidores, bancos de dados ou backends de terceiros pertencentes ao app. Toda a lógica de backend roda em Forge Functions gerenciadas pela Atlassian.
• Seus dados ficam no seu tenant. Todos os dados são armazenados no Forge Entity Storage / KVS, restritos ao seu site Atlassian e criptografados em repouso pela Atlassian.
• Sem exfiltração de dados. O app não faz chamadas de rede no backend. Os únicos recursos externos são as fontes do Google (Google Fonts) para renderização da interface, que não transmitem nenhum dado de usuário ou de issue.
• Acesso somente leitura ao Jira. Solicitamos apenas os escopos mínimos necessários e nunca escrevemos nos seus dados do Jira.
• IA dentro da Atlassian. O coaching por IA usa o Forge LLM / Rovo hospedado pela Atlassian. Apenas valores de métricas agregadas são processados — nunca issues brutas, comentários ou dados pessoais.

2. Como Relatar uma Vulnerabilidade

Se você acredita ter encontrado uma vulnerabilidade de segurança no Smart Metrics AI:

1. Não publique detalhes de exploração em um issue público.
2. Envie um e-mail para support@smartflowstudio.com.br com o assunto SECURITY.
3. Inclua uma descrição, o componente afetado, passos de reprodução e qualquer prova de conceito.

Confirmamos o recebimento em até 2 dias úteis. Também aceitamos relatos pelo Programa de Bug Bounty de Segurança do Atlassian Marketplace.

3. Prazos de Correção

Alinhamos nossos prazos de correção com a Política de Correção de Bugs de Segurança do Atlassian Marketplace, classificando por severidade CVSS:

• Crítica (9.0–10.0): em até 2 semanas
• Alta (7.0–8.9): em até 4 semanas
• Média (4.0–6.9): em até 6 semanas
• Baixa (0.1–3.9): em até 90 dias

4. Resposta a Incidentes

Em caso de incidente de segurança ou violação de dados confirmados, nós:

1. Detectamos e triamos — confirmamos o escopo e a severidade e designamos um responsável.
2. Contemos — desabilitamos a funcionalidade afetada ou revertemos a implantação Forge.
3. Corrigimos — identificamos a causa raiz e implantamos uma nova versão Forge validada.
4. Notificamos — informamos a Atlassian e os clientes afetados sem demora injustificada, incluindo natureza, impacto e correção do incidente.
5. Revisamos — documentamos uma linha do tempo pós-incidente e ações corretivas.

Comprometemo-nos a notificar clientes e a Atlassian em caso de vulnerabilidade crítica que afete o app.

5. Desenvolvimento Seguro

• MFA no nosso sistema de gerenciamento de código; mudanças em produção passam por pull requests.
• Varredura de dependências (SCA) via npm audit automatizado no CI a cada alteração e semanalmente.
• O desenvolvimento segue as diretrizes do OWASP Top 10.
• Escopos Forge de menor privilégio; sem chaves de API ou segredos externos; sem segredos em logs.

6. Contato

• E-mail de segurança: support@smartflowstudio.com.br (assunto: SECURITY)
• Rastreador público de issues: GitHub issues

O Smart Metrics AI é um app independente e não é afiliado nem endossado pela Atlassian Pty Ltd.