Política de divulgação de vulnerabilidades
Se acredita ter encontrado uma vulnerabilidade de segurança relacionada com um produto ou serviço da STRONG, envie-nos o seu relatório.
De: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Áustria
Publicado em abril de 2024
Conteúdo
- Introdução
- Relatórios
- O que esperar
- Orientação
- Legalidades
Introdução
Esta política de divulgação de vulnerabilidades aplica-se a quaisquer vulnerabilidades que esteja a considerar comunicar à STRONG. Recomendamos que leia esta política de divulgação de vulnerabilidades na íntegra antes de comunicar uma vulnerabilidade e que actue sempre em conformidade com a mesma.
Valorizamos aqueles que dedicam tempo e esforço para comunicar vulnerabilidades de segurança de acordo com esta política. No entanto, não oferecemos recompensas monetárias pela divulgação de vulnerabilidades
Relatórios
Se acredita ter encontrado uma vulnerabilidade de segurança, envie-nos a sua comunicação utilizando o seguinte formulário de contacto e escolhendo a natureza "Violação de segurança": *****(lien formulaire de contact)*****
O que esperar
Depois de ter apresentado a sua denúncia, responderemos à mesma no prazo de 5 dias úteis e tentaremos fazer a triagem da sua denúncia no prazo de 10 dias úteis. Procuraremos também mantê-lo informado dos nossos progressos.
A prioridade da correção é avaliada tendo em conta o impacto, a gravidade e a complexidade da exploração. Os relatórios de vulnerabilidade podem demorar algum tempo a fazer a triagem ou a ser resolvidos; em alguns casos, a correção pode demorar até 90 dias ou mais. Pode informar-se sobre o estado da situação, mas deve evitar fazê-lo mais do que uma vez em cada 14 dias. Deste modo, as nossas equipas podem concentrar-se na resolução do problema.
Notificá-lo-emos quando a vulnerabilidade comunicada for corrigida e poderá ser convidado a confirmar que a solução cobre a vulnerabilidade de forma adequada.
Quando a vulnerabilidade tiver sido resolvida, agradecemos os pedidos de divulgação do seu relatório. Gostaríamos de unificar as orientações para os utilizadores afectados, por isso, continue a coordenar a divulgação pública connosco.
Orientação
NÃO deve:
- violar qualquer lei ou regulamento aplicável
- aceder a quantidades desnecessárias, excessivas ou significativas de dados
- modificar dados nos sistemas ou serviços da STRONG
- utilizar ferramentas de exploração invasivas ou destrutivas de alta intensidade para encontrar vulnerabilidades
- tentar ou comunicar qualquer forma de negação de serviço, por exemplo, sobrecarregar um serviço com um elevado volume de pedidos
- perturbar os serviços ou sistemas da STRONG
- apresentar relatórios que especifiquem vulnerabilidades não exploráveis ou relatórios que indiquem que os serviços não estão totalmente em conformidade com as "melhores práticas", por exemplo, falta de cabeçalhos de segurança
- comunicar quaisquer vulnerabilidades ou pormenores associados, exceto através dos meios descritos na presente política
- praticar engenharia social, "phishing" ou atacar fisicamente o pessoal ou as infra-estruturas da Organização
- exigir uma compensação financeira para revelar quaisquer vulnerabilidades
Tem de o fazer:
- respeitar sempre as regras de proteção de dados e não violar a privacidade dos utilizadores, funcionários, prestadores de serviços, serviços ou sistemas da STRONG. O utilizador não deve, por exemplo, partilhar, redistribuir ou não proteger devidamente os dados obtidos a partir dos sistemas ou serviços.
- apagar de forma segura todos os dados obtidos durante a sua investigação logo que deixem de ser necessários ou no prazo de um mês após a resolução da vulnerabilidade, consoante o que ocorrer primeiro (ou conforme exigido pela lei de proteção de dados).
Legalidades
Esta política foi concebida para ser compatível com as boas práticas comuns de divulgação de vulnerabilidades. Não lhe dá permissão para atuar de qualquer forma que seja inconsistente com a lei, ou que possa fazer com que a Organização ou organizações parceiras violem quaisquer obrigações legais.
No entanto, se uma ação judicial for iniciada por um terceiro contra si e se tiver cumprido esta política, podemos tomar medidas para que se saiba que as suas acções foram conduzidas em conformidade com esta política.
Obrigado por ajudar a manter a STRONG e os nossos clientes em segurança!