Política de Divulgação Responsável

VOLTAR

Introdução

A JeffreyGroup (“Nós”, “Nos”, “Nosso”) aprecia e valoriza a identificação e o relato de vulnerabilidades de segurança realizadas por pesquisadores de segurança éticos e bem-intencionados (“Você”).

Esta política de divulgação de vulnerabilidades se aplica a quaisquer vulnerabilidades que você esteja pensando em nos relatar. Recomendamos a leitura completa desta política de divulgação de vulnerabilidades antes de relatar uma vulnerabilidade e sempre agir em conformidade com ela.

Não oferecemos um programa de recompensas por bugs ou recompensas monetárias por divulgações responsáveis e as solicitações de compensação não serão consideradas em conformidade com esta Política de Divulgação Responsável.

Relatórios

Se você acredita ter encontrado uma vulnerabilidade de segurança, envie sua denúncia para nós usando o seguinte endereço de e-mail: [email protected]

Seu relatório deve incluir detalhes sobre:

• O site, domínio, IP ou página onde a vulnerabilidade pode ser observada.
• Etapas para reproduzir o que deve ser uma prova de conceito benigna e não destrutiva. Isso ajuda a garantir que o relatório possa ser triado com rapidez e precisão.

Se você tiver alguma dúvida, também pode enviar um e-mail para [email protected] para obter orientação.

O que esperar

Nosso objetivo é confirmar o recebimento do seu relatório de vulnerabilidade dentro de 5 dias úteis e fazer a triagem do seu relatório dentro de 10 dias úteis. Também pretendemos mantê-lo informado sobre nosso progresso e conclusão de quaisquer atividades de correção. Podemos entrar em contato com você se precisarmos de mais informações sobre sua denúncia.

A correção de quaisquer vulnerabilidades relatadas é avaliada com base em seu impacto, gravidade e complexidade de exploração. Os relatórios de vulnerabilidade podem levar algum tempo para triagem ou abordagem. Você pode perguntar sobre o status, mas pedimos que evite fazê-lo mais de uma vez a cada 14 dias para permitir que nossas equipes se concentrem na correção.

Orientação

Você NÃO deve:

• Violar qualquer lei ou regulamento aplicável.
• Acessar quantidades desnecessárias, excessivas ou significativas de dados ou modificar dados em nossos sistemas ou serviços.
• Interromper nossos serviços ou sistemas, usar ferramentas de varredura invasivas ou destrutivas de alta intensidade para encontrar vulnerabilidades ou tentar qualquer forma de negação de serviço.
• Enviar relatórios detalhando vulnerabilidades não exploráveis ou relatórios indicando que os serviços não estão totalmente alinhados com as “melhores práticas”, por exemplo, cabeçalhos de segurança ausentes.
• Enviar relatórios detalhando os pontos fracos da configuração do TLS, por exemplo, suporte ao pacote de criptografia “fraco” ou a presença de suporte ao TLS1.0.
• Praticar engenharia social, ‘phishing’ ou ataque fisicamente nossa equipe ou infraestrutura.
• Exigir compensação financeira para divulgar quaisquer vulnerabilidades.

Você deve:

• Cumprir, sempre, as regras de proteção de dados e não deve violar a privacidade de nossos usuários, funcionários, contratados, serviços ou sistemas. Você não deve, por exemplo, compartilhar, redistribuir ou deixar de proteger adequadamente os dados recuperados dos sistemas ou serviços.
• Exclua com segurança todos os dados recuperados durante sua pesquisa assim que não forem mais necessários ou dentro de 1 mês após a resolução da vulnerabilidade, o que ocorrer primeiro (ou conforme exigido pela lei de proteção de dados).

Legalidades

Esta política foi projetada para ser compatível com as boas práticas comuns de divulgação de vulnerabilidades. Não lhe dá permissão para agir de qualquer maneira que seja inconsistente com a lei ou que possa nos levar a violar quaisquer obrigações legais.