# security.txt — frete.center
# RFC 9116 · https://www.rfc-editor.org/rfc/rfc9116
#
# Canonical URL: https://frete.center/.well-known/security.txt
# Espelho: https://frete.center/security.txt

Contact: mailto:seguranca@frete.center
Contact: https://frete.center/contato
Expires: 2027-05-07T00:00:00.000Z
Encryption: https://frete.center/.well-known/pgp-key.asc
Preferred-Languages: pt-BR, en
Canonical: https://frete.center/.well-known/security.txt
Policy: https://frete.center/docs/security/POLICY.md
Acknowledgments: https://frete.center/docs/security/HALL_OF_FAME.md

# Como reportar vulnerabilidades
#
# 1. Email: seguranca@frete.center (preferencial, criptografado se possível)
# 2. Inclua: descrição técnica, passos para reprodução, impacto estimado
# 3. NÃO: realize testes destrutivos, exfiltre dados reais, escaneie em escala
# 4. Tempo de resposta: 1 dia útil para acuse, 7 dias para triagem completa
#
# Escopo coberto:
#   - https://frete.center/* (produção)
#   - APIs em /api/* (autenticadas por chave)
#   - PWA / service worker (/sw.js)
#
# Fora de escopo:
#   - DoS / volumetric attacks
#   - Engenharia social com funcionários ou clientes
#   - Vulnerabilidades em dependências de terceiros (BrasilAPI, ViaCEP, OSRM, ANP, SEFAZ)
#
# Bug bounty: ainda sem programa monetário, mas reconhecemos publicamente
# pesquisadores em /docs/security/HALL_OF_FAME.md.