DESCOBERTA E DIVULGAÇÃO DE VULNERABILIDADES

DESCOBERTA E DIVULGAÇÃO DE VULNERABILIDADES

Política de descoberta e divulgação de vulnerabilidades

Versão 1.4- outubro de 2023

 

Introdução

A Sylvania considera que a segurança, a privacidade e a proteção dos nossos clientes são uma das suas principais prioridades.
Concebemos e fabricamos produtos e serviços com a melhor qualidade e fiabilidade possíveis.
Apesar dos nossos esforços para implementar as melhores medidas de segurança possíveis, ainda podem existir vulnerabilidades nos nossos produtos e serviços.

Este documento descreve a política da Sylvania para receber relatórios relacionados a possíveis vulnerabilidades de segurança em seus produtos e serviços, os procedimentos da empresa para lidar com um relatório e a prática padrão da empresa com relação a informar os clientes sobre vulnerabilidades verificadas.

Todos são encorajados a comunicar as vulnerabilidades identificadas, independentemente do tipo de serviço ou produto.
Os investigadores, parceiros, clientes ou qualquer outra fonte são bem-vindos para comunicar quaisquer vulnerabilidades encontradas.

Âmbito de aplicação

Esta política aplica-se aos seguintes sistemas e serviços:

Nota para os investigadores: Todos os serviços não expressamente enumerados acima estão excluídos do âmbito de aplicação e não são autorizados para ensaios.

Orientações

Pedimos-te que:

  • Notifica a Feilo Sylvania primeiro e o mais rapidamente possível depois de teres descoberto um problema de segurança real ou potencial
  • Faz todos os esforços para evitar violações da privacidade, a degradação do desempenho do sistema, a degradação da experiência do utilizador, a perturbação dos sistemas de produção e a destruição ou manipulação de dados.
  • Utiliza exploits apenas na medida do necessário para confirmar a presença de uma vulnerabilidade.
  • Não utilizes um exploit para comprometer ou extrair dados, estabelecer acesso e/ou persistência na linha de comandos, ou utilizar o exploit para “passar” para outros sistemas.
  • Assim que tiveres estabelecido que existe uma vulnerabilidade ou que encontras dados sensíveis (incluindo informações de identificação pessoal, informações financeiras ou informações proprietárias ou segredos comerciais de qualquer parte), deves parar o teu teste, notificar-nos imediatamente e não divulgar esses dados a mais ninguém.
  • Concede à Feilo Sylvania um prazo razoável para resolver o problema
  • Não utilizes testes de negação de serviço da rede (DoS ou DDoS) ou outros testes que prejudiquem o acesso ou danifiquem um sistema ou dados

Se estas orientações forem seguidas, não serão tomadas medidas legais contra as pessoas que descobrirem e comunicarem uma vulnerabilidade.

Comunicar uma vulnerabilidade

O método preferido para contactar a Feilo Sylvania relativamente a uma vulnerabilidade real ou potencial dos seus produtos ou serviços é enviar uma mensagem de correio eletrónico para:

[email protected].

Para podermos processar eficazmente o teu relatório de vulnerabilidade, esperamos um relatório bem escrito em inglês com as seguintes informações:

  • Hora e data da descoberta
  • Aplicação móvel utilizada
  • Sistema operativo móvel
  • Modelo do computador e detalhes do sistema operativo
  • Número do modelo do dispositivo e endereços MAC/UUID associados
  • Modelo e número do produto utilizando a nomenclatura do fornecedor, se possível
  • URL, informações sobre o browser, incluindo o tipo e a versão, e dados necessários para reproduzir a vulnerabilidade;
  • Descrição técnica – indica as acções executadas e o resultado com o máximo de pormenor possível, incluindo capturas de ecrã,
  • Código de amostra – se possível, fornece o código que foi utilizado nos testes para criar a vulnerabilidade;
  • Informações de contacto da festa de apresentação de relatórios – os melhores contactos
  • Plano(s) de divulgação – plano atual de divulgação;
  • Avaliação das ameaças/riscos e classificação da gravidade – contém pormenores sobre as ameaças e/ou riscos identificados, incluindo um nível de risco (menor, maior, crítico)
  • Informações relevantes sobre os dispositivos ligados, caso surja uma vulnerabilidade durante a interação.

Não incluas dados pessoais nos teus relatórios, exceto o que for necessário para te contactar em conformidade com o RGPD.

A participação neste mecanismo de comunicação não te concede qualquer direito à propriedade intelectual da Feilo Sylvania ou de terceiros.

Processamento do relatório – Próximas etapas

Assim que a Feilo Sylvania receber a tua denúncia, a Feilo Sylvania esforçar-se-á por acusar a receção de todas as denúncias apresentadas no prazo de sete dias.

O teu relatório será processado no nosso sistema de acompanhamento de problemas.
A classificação de gravidade do relatório será considerada e atribuída uma classificação de gravidade ao critério exclusivo da Feilo Sylvania e um membro apropriado da equipa entrará em contacto contigo para fazer o acompanhamento.

Para garantir a confidencialidade, encorajamos-te a encriptar qualquer informação sensível que nos envies por e-mail.
A Feilo Sylvania assegurará um diálogo aberto para discutir questões e manter-te-á informado em cada fase da investigação.

A Feilo Sylvania tem total liberdade para determinar se aceita uma denúncia com base no nível de gravidade ou no conteúdo da denúncia fornecida.

A Feilo Sylvania agradece a tua ajuda na identificação de uma vulnerabilidade, por melhorares os nossos produtos e serviços e por contribuíres para uma comunidade mais segura.

Todos os aspectos deste processo estão sujeitos a alterações sem aviso prévio, bem como a excepções caso a caso.
Não é garantido um nível de resposta específico para qualquer questão ou grupo de questões.

Nota que não existe qualquer recompensa financeira por qualquer vulnerabilidade comunicada.