Introdução

A Gotedo está firmemente comprometida em proteger as informações de nossos usuários e manter a segurança de nossos sistemas. Esta Política de Divulgação de Vulnerabilidades estabelece diretrizes claras para pesquisadores de segurança que desejam identificar e divulgar possíveis vulnerabilidades. A política explica:

  • Quais sistemas e tipos de pesquisa estão cobertos por esta política,
  • Como compartilhar relatórios de vulnerabilidades conosco, e
  • Por quanto tempo os pesquisadores devem esperar antes de divulgar vulnerabilidades publicamente.

Encorajamos os pesquisadores de segurança a relatar vulnerabilidades de boa fé. Ao trabalharmos juntos, podemos resolver problemas rapidamente, mantendo a segurança e a confiança de todos os usuários da Gotedo. Esta política reflete o compromisso da Gotedo com a pesquisa de segurança responsável e nossa apreciação pelas contribuições inestimáveis que os pesquisadores fazem para nossa postura de segurança.

Autorização

Se você fizer um esforço de boa fé para seguir esta política durante seus testes de segurança, consideraremos sua pesquisa como autorizada. Trabalharemos colaborativamente com você para investigar e abordar o problema o mais rápido possível, e a Gotedo não buscará nem recomendará ações legais relacionadas às suas atividades de pesquisa sob esta política.

Diretrizes

Sob esta política, “pesquisa” refere-se a atividades nas quais você:

  • Nos notifica o mais rápido possível ao descobrir um problema de segurança real ou potencial.
  • Exerce cautela para evitar violações de privacidade, degradação da experiência do usuário, interrupção de sistemas de produção, ou destruição ou manipulação de dados.
  • Usa exploits apenas na medida necessária para confirmar a presença de uma vulnerabilidade. Não use um exploit para comprometer ou extrair dados, estabelecer acesso à linha de comando ou persistência, ou para pivotar para outros sistemas.
  • Nos concede um período razoável para resolver o problema antes de divulgá-lo publicamente.
  • Evita comprometer intencionalmente a privacidade, segurança, propriedade intelectual ou interesses comerciais/financeiros dos funcionários, usuários ou terceiros da Gotedo.

Se você descobrir que uma vulnerabilidade expõe dados sensíveis, como informações pessoalmente identificáveis, detalhes financeiros ou informações proprietárias, você deve cessar os testes imediatamente, nos notificar imediatamente e abster-se de divulgar quaisquer dados expostos a qualquer pessoa.

Escopo

Todos os sistemas e serviços sob o domínio gotedo.com e seus subdomínios (**.gotedo.com) estão no escopo, salvo indicação em contrário. Além disso, qualquer site que faça referência a esta política também está no escopo. Se você não tiver certeza se um sistema ou endpoint está no escopo, entre em contato com [email protected] ou consulte o contato de segurança WHOIS do domínio antes de iniciar sua pesquisa.

Embora mantenhamos serviços adicionais fora do escopo desta política, pedimos que você limite os testes ativos aos sistemas mencionados aqui. Se você acredita que um sistema fora deste escopo merece ser testado, entre em contato conosco primeiro para discutir. Pretendemos expandir o escopo desta política ao longo do tempo.

Regras de Engajamento

Os pesquisadores de segurança NÃO DEVEM:

  • Testar qualquer sistema não listado na seção Escopo.
  • Divulgar detalhes de vulnerabilidades fora do que é permitido nas seções Relatando uma Vulnerabilidade e Divulgação.
  • Realizar testes de segurança física das instalações da Gotedo.
  • Realizar engenharia social em funcionários, contratados ou clientes da Gotedo.
  • Enviar e-mails não solicitados ou mensagens de phishing aos usuários da Gotedo.
  • Realizar ataques de Negação de Serviço ou Esgotamento de Recursos.
  • Carregar ou distribuir software malicioso.
  • Realizar testes que degradem, interrompam ou desativem significativamente os serviços da Gotedo.
  • Tentar testar ou comprometer aplicativos, sites ou serviços de terceiros que se integrem com a Gotedo.
  • Excluir, alterar, compartilhar, reter ou destruir dados da Gotedo, ou tornar os dados da Gotedo inacessíveis.
  • Usar um exploit para extrair dados, estabelecer acesso à linha de comando, manter persistência ou pivotar para outros sistemas da Gotedo.

Os pesquisadores de segurança PODEM:

  • Visualizar ou armazenar temporariamente dados não públicos da Gotedo apenas se for necessário para demonstrar a presença de uma vulnerabilidade potencial.

Os pesquisadores de segurança DEVEM:

  • Parar os testes e nos notificar imediatamente se uma vulnerabilidade for descoberta.
  • Parar os testes e nos notificar imediatamente se dados não públicos forem expostos.
  • Excluir todos os dados não públicos da Gotedo armazenados ao relatar uma vulnerabilidade.

Relatando uma Vulnerabilidade

Por favor, envie relatórios de vulnerabilidades para [email protected]. No momento, aceitamos relatórios em inglês e não suportamos criptografia PGP. Você pode enviar relatórios anonimamente, se preferir.

Usaremos qualquer informação que você fornecer exclusivamente para fins defensivos, ou seja, para investigar e remediar vulnerabilidades. Se suas descobertas revelarem falhas recém-descobertas que afetem não apenas a Gotedo, mas também outros serviços ou produtos em geral, poderemos compartilhar seu relatório com o Banco de Dados Nacional de Vulnerabilidades (NVD). Não incluiremos seu nome ou detalhes de contato sem seu consentimento expresso.

Ao enviar um relatório de vulnerabilidade, você reconhece ter lido, entendido e concordado com os princípios desta política, e consente que a Gotedo armazene sua comunicação e qualquer correspondência de acompanhamento em um sistema da Gotedo.

Para nos ajudar a triar e responder eficientemente, inclua:

  • Uma referência aos termos e condições legais em Termos de Serviço da Gotedo.
  • Uma descrição clara da vulnerabilidade, onde foi encontrada e seu impacto potencial na segurança.
  • Passos detalhados ou uma prova de conceito ilustrando como reproduzir o problema (scripts ou capturas de tela relevantes são incentivados).

Divulgação

A Gotedo tem como objetivo abordar as vulnerabilidades relatadas rapidamente. Também entendemos que divulgar uma vulnerabilidade prematuramente, sem uma solução testada, pode aumentar o risco. Portanto, exigimos que os pesquisadores esperem 90 dias corridos após receberem nosso reconhecimento inicial antes de compartilhar publicamente os detalhes de qualquer vulnerabilidade descoberta. Se você acredita que a comunidade em geral deve ser alertada antes de implementarmos uma correção corretiva, por favor, coordene conosco previamente.

Podemos compartilhar informações sobre vulnerabilidades com o Banco de Dados Nacional de Vulnerabilidades ou outros fornecedores afetados, mas nunca compartilharemos seus detalhes pessoais sem sua aprovação explícita.

Perguntas

Se você tiver alguma dúvida ou sugestão sobre esta política, entre em contato conosco em [email protected]. Agradecemos e valorizamos seus comentários.

Outras políticas