Novo
Solicite uma demonstração

Object First Política de Divulgação de Vulnerabilidades

Última atualização:

Introdução 

Object First tem o compromisso de ajudar nossos parceiros e clientes a minimizar o risco associado a quaisquer vulnerabilidades de segurança. Como coassinante do compromisso Seguro by Design da CISA, estamos dedicados a manter as melhores práticas do setor em segurança e no tratamento de vulnerabilidades e a fornecer aos clientes informações, orientações e opções de mitigação em tempo hábil para tratar vulnerabilidades.

Tratamento de Relatos de Vulnerabilidades

Aceitamos relatos e divulgações de parceiros do setor e pesquisadores de segurança. Nosso objetivo é ter correções ou estratégias de mitigação disponíveis no momento da divulgação, em colaboração com fornecedores terceirizados quando necessário.

Se você descobriu uma vulnerabilidade, problema de privacidade, dados expostos ou outros problemas de segurança em qualquer um de nossos produtos, queremos saber.

De acordo com esta política de divulgação, todas as informações divulgadas sobre novas vulnerabilidades são consideradas confidenciais e somente serão compartilhadas entre Object First e a parte que reportou se as informações ainda não forem de conhecimento público, até que a equipe de segurança da Object First confirme que a correção está disponível e autorize explicitamente a divulgação coordenada.

Sistemas no Escopo

Esta política se aplica a quaisquer produtos fabricados, vendidos, de propriedade, operados ou mantidos pela Object First.

Fora do Escopo

Produtos ou outros equipamentos que não sejam de propriedade das partes participantes desta política.

Vulnerabilidades descobertas ou suspeitas em sistemas fora do escopo devem ser reportadas ao fornecedor apropriado ou à autoridade aplicável.

Nossos Compromissos

Ao trabalhar conosco, você pode esperar que nós:

  • Responderemos ao seu relato prontamente e trabalharemos com você para entender e validar seu relato.
  • Manteremos você informado sobre o progresso de uma vulnerabilidade à medida que ela for processada.
  • Trabalharemos para corrigir vulnerabilidades descobertas prontamente, dentro de nossas restrições operacionais.
  • Estenderemos “Safe Harbor” para sua pesquisa de vulnerabilidades relacionada a esta política.

Nossas Expectativas

Ao participar do nosso programa de divulgação de vulnerabilidades de boa-fé, solicitamos que você:

  • Siga as regras, incluindo cumprir esta política e outros acordos relevantes. Se houver qualquer inconsistência entre esta política e quaisquer outros termos aplicáveis, os termos desta política prevalecerão.
  • Reporte prontamente qualquer vulnerabilidade que você tenha descoberto.
  • Evite violar a privacidade de terceiros, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário.
  • Use apenas canais oficiais para discutir informações de vulnerabilidade com [email protected].
  • Conceda-nos um prazo razoável (mínimo de 90 dias a partir do relato inicial) para resolver o problema antes de divulgá-lo publicamente.
  • Realize testes apenas em sistemas dentro do escopo e respeite sistemas e atividades que estejam fora do escopo.
  • Se uma vulnerabilidade fornecer acesso não intencional a dados, limite a quantidade de dados acessados ao mínimo necessário para demonstrar efetivamente uma prova de conceito. Além disso, interrompa os testes e envie um relato imediatamente se você encontrar quaisquer dados de usuário durante os testes, como Informações de Identificação Pessoal (PII), Informações Pessoais de Saúde (PHI), dados de cartão de crédito ou quaisquer outras informações proprietárias.
  • Você deve interagir apenas com contas de teste que sejam suas ou com permissão explícita do titular da conta.
  • Não divulgue detalhes da vulnerabilidade até que haja acordo com a equipe de segurança da Object First.
  • Não armazene quaisquer dados descobertos durante o processo de testes.
  • Não se envolva em extorsão.

Relatar uma vulnerabilidade de segurança

Se você acredita ter identificado uma vulnerabilidade de segurança em um produto ou serviço da Object First, incentivamos que você a reporte para que possamos investigar e tratar o problema rapidamente.

Como Reportar

Envie um e-mail [email protected] com uma descrição clara do que você encontrou, incluindo quaisquer detalhes que nos ajudem a fazer a triagem de forma eficiente. Se você não tiver certeza se seus testes estão alinhados com esta política, entre em contato pelo mesmo endereço.

O que Incluir

  • Um resumo do problema e do impacto potencial
  • Etapas detalhadas para reproduzir a vulnerabilidade
  • Nome do produto, versão e detalhes do ambiente
  • Qualquer material de prova de conceito
  • Suas informações de contato preferenciais

Evite baixar, armazenar ou compartilhar quaisquer informações sensíveis. Interrompa os testes imediatamente e inclua suas observações no seu relato.

O que Esperar

Nossa equipe de segurança confirmará o recebimento do seu relato, revisará o problema e fará o acompanhamento com as próximas etapas. Manteremos você informado enquanto trabalhamos rumo a uma resolução.

Safe Harbor

Object First apoia pesquisa de segurança de boa-fé. “Safe Harbor” significa que, se você seguir esta política e conduzir testes de forma responsável, trataremos sua pesquisa como autorizada e não buscaremos ação legal por violações acidentais que ocorram durante sua investigação.

Quando você conduz pesquisa de vulnerabilidades sob esta política, consideramos essa pesquisa como:

  • Autorizada sob as leis anti-hacking aplicáveis, e não iniciaremos nem apoiaremos ação legal contra você por violações acidentais, de boa-fé, desta política
  • Autorizada sob leis anti-burla relevantes, e não apresentaremos uma reivindicação contra você por burlar controles técnicos
  • Isenta de restrições em nossos Termos de Serviço (TOS) e/ou Política de Uso Aceitável (AUP) que interfeririam na condução de pesquisa de segurança, e renunciamos a essas restrições de forma limitada
  • Lícita, útil para a segurança geral e conduzida de boa-fé.

Espera-se que você cumpra todas as leis aplicáveis em sua pesquisa, testes e relato. Se um terceiro iniciar ação legal contra você e você tiver cumprido esta política, tomaremos medidas para tornar conhecido que suas ações foram conduzidas em conformidade com esta política.

Envolvimento de Terceiros

Espera-se que você cumpra todas as leis aplicáveis em sua pesquisa, testes e relato. Se um terceiro iniciar ação legal contra você e você tiver cumprido esta política, tomaremos medidas para tornar conhecido que suas ações foram conduzidas em conformidade com esta política.

Observe que o Safe Harbor se aplica apenas a reivindicações legais sob o controle da organização participante desta política e que a política não vincula terceiros independentes.

Aviso Legal de Tradução Automática

Esteja ciente de que a Object First usa tradução automática em nosso site. Para detalhes completos, leia o aviso legal.