Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Last update: Aug 21st 2024

Política de Divulgação de Vulnerabilidades do

Introdução 

A Object First se esforça para ajudar nossos parceiros e clientes a minimizar o risco associado a vulnerabilidades de segurança em nossos produtos. Em conformidade com nosso compromisso com o compromisso Secure by Design da CISA, estamos comprometidos em manter as melhores práticas da indústria em segurança e manuseio de vulnerabilidades e temos como objetivo fornecer aos clientes informações, orientações e opções de mitigação em tempo hábil para abordar vulnerabilidades. 

Tratamento de Relatórios de Vulnerabilidade 

Valorizamos a visão de parceiros da indústria e pesquisadores de segurança, e apreciamos todas as contribuições para nossas iniciativas de segurança.  Nosso objetivo é garantir que remédios e/ou estratégias de mitigação estejam disponíveis no momento da divulgação de vulnerabilidades específicas da Object First e trabalhar com fornecedores de terceiros quando a remediação exigir sua colaboração. 

Se você acredita que descobriu uma vulnerabilidade, problema de privacidade, dados expostos ou outros problemas de segurança em qualquer um de nossos ativos, queremos ouvir você. Esta política descreve os passos para relatar vulnerabilidades para nós, o que esperamos e o que você pode esperar de nós. 

De acordo com esta política, todas as informações divulgadas sobre novas vulnerabilidades são consideradas confidenciais e devem ser compartilhadas apenas entre a Object First e a parte que reporta, se a informação não for de conhecimento público até que um remédio esteja disponível e as atividades de divulgação sejam coordenadas. 

Sistemas em Escopo 

Esta política se aplica a quaisquer ativos fabricados, vendidos, possuídos, operados ou mantidos pela Object First. 

Fora do Escopo 

  • Ativos ou outros equipamentos não pertencentes a partes que participam desta política. 

Vulnerabilidades descobertas ou suspeitas em sistemas fora do escopo devem ser relatadas ao fornecedor apropriado ou à autoridade aplicável. 

Nossos Compromissos 

Ao trabalhar conosco, de acordo com esta política, você pode esperar que nós: 

  • Responda ao seu relatório prontamente e trabalhe com você para entender e validar seu relatório. 
  • Esforce-se para mantê-lo informado sobre o progresso de uma vulnerabilidade à medida que é processada. 
  • Trabalhe para remediar vulnerabilidades descobertas prontamente, dentro de nossas restrições operacionais. 
  • Estenda o Safe Harbor para sua pesquisa de vulnerabilidade relacionada a esta política. 

Nossas Expectativas 

Ao participar de nosso programa de divulgação de vulnerabilidades de boa fé, pedimos que você: 

  • Siga as regras, incluindo o cumprimento desta política e outros acordos relevantes. Se houver qualquer inconsistência entre esta política e quaisquer outros termos aplicáveis, os termos desta política prevalecerão. 
  • Relate qualquer vulnerabilidade que você tenha descoberto prontamente. 
  • Evite violar a privacidade de outros, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário. 
  • Use apenas os Canais Oficiais para discutir informações sobre vulnerabilidades conosco. 
  • Forneça-nos um tempo razoável (mínimo de 90 dias a partir do relatório inicial) para resolver o problema antes de divulgá-lo publicamente. 
  • Realize testes apenas em sistemas dentro do escopo e respeite sistemas e atividades que estão fora do escopo. 
  • Se uma vulnerabilidade fornecer acesso não intencional a dados, limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar efetivamente uma Prova de Conceito. Além disso, cesse os testes e envie um relatório imediatamente se você encontrar qualquer dado de usuário durante os testes, como Informações Pessoais Identificáveis (PII), Informações de Saúde Pessoal (PHI), dados de cartão de crédito ou informações proprietárias. 
  • Você deve interagir apenas com contas de teste que você possui ou com permissão explícita do titular da conta. 
  • Não divulgue detalhes da vulnerabilidade até que a Object First confirme a correção. 
  • Não armazene nenhum dado descoberto durante o processo de teste. 
  • Não se envolva em extorsão. 

Canais Oficiais 

Por favor, relate problemas de segurança através de mailto:[email protected], fornecendo todas as informações relevantes. Quanto mais detalhes você fornecer, mais rápido poderemos triagem e resolver o problema. 

Safe Harbor 

  • Ao conduzir pesquisas de vulnerabilidade sob esta política, consideramos essa pesquisa como: Autorizada em relação a quaisquer leis anti-hacking aplicáveis, e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa fé desta política; 
  • Autorizada em relação a quaisquer leis relevantes de anti-burlamento, e não apresentaremos uma reclamação contra você por burlamento de controles tecnológicos; 
  • Isenta de restrições em nossos Termos de Serviço (TOS) e/ou Política de Uso Aceitável (AUP) que interfeririam na condução de pesquisas de segurança, e renunciamos a essas restrições de forma limitada; e 
  • Legal, útil para a segurança geral da Internet e conduzida de boa fé. 

Espera-se que você cumpra todas as leis aplicáveis em sua pesquisa, testes e relatórios. Se um terceiro iniciar uma ação legal contra você e você tiver cumprido esta política, tomaremos medidas para deixar claro que suas ações foram realizadas em conformidade com esta política. 

Se você tiver preocupações ou não tiver certeza se sua pesquisa de segurança é consistente com esta política a qualquer momento, envie um relatório para [email protected].  

Observe que o Safe Harbor se aplica apenas a reivindicações legais sob o controle da organização que participa desta política e que a política não vincula terceiros independentes.