Procedimento de relatório:
- Use nossa chave pública PGP para criptografar qualquer envio de e-mail para productsecurity@signify.com.
- Forneça-nos seu número de referência/aviso e informações de contato suficientes, como sua organização e nome de contato, para que possamos entrar em contato com você.
- Forneça uma descrição técnica da preocupação ou vulnerabilidade.
- Forneça informações sobre qual produto específico você testou, incluindo nome do produto e número da versão; a infraestrutura técnica testada, incluindo sistema operacional e versão; e quaisquer informações adicionais relevantes, como detalhes de configuração de rede.
- Para serviços baseados na Web, forneça a data e hora do teste, URLs, tipo e versão do navegador, bem como a entrada fornecida ao aplicativo.
- Para nos ajudar a verificar o problema, forneça informações adicionais, incluindo detalhes sobre as ferramentas usadas para realizar os testes e quaisquer configurações de teste relevantes. Se você escreveu uma prova de conceito ou código de exploração específico, forneça uma cópia. Certifique-se de que todo o código enviado esteja claramente marcado como tal e criptografado com nossa chave PGP.
- Se você identificou ameaças específicas relacionadas à vulnerabilidade, avaliou o risco ou viu a vulnerabilidade sendo explorada, forneça essas informações também criptografadas por PGP.
- Se você comunicar informações de vulnerabilidade a coordenadores de vulnerabilidade, como ICS-CERT, CERT/CC, NCSC ou outras partes, informe-nos e forneça seu número de rastreamento, se algum tiver sido disponibilizado.
Avaliação e ação do relatório de vulnerabilidade de segurança do produto:
- A Signify confirmará o recebimento do seu relatório dentro de dois dias úteis.
- A Signify fornecerá a você um número de rastreamento exclusivo para o seu relatório.
- A Signify atribuirá uma pessoa de contacto para cada caso.
- A equipe central de resposta a incidentes de segurança da Signify notificará as equipes de produto apropriadas.
- A Signify irá mantê-lo informado sobre o status do seu relatório.
- Se a vulnerabilidade estiver realmente num componente ou serviço de terceiros que faça parte do nosso produto/serviço, encaminharemos o relatório a esse terceiro e avisaremos você sobre essa notificação. Para esse efeito, informe-nos no seu e-mail se é permitido, nesses casos, fornecer os seus dados de contacto a terceiros.
- Ao receber um relatório de vulnerabilidade, a Signify irá:
- Verifique a vulnerabilidade relatada.
- Trabalhe em uma resolução.
- Execute testes de controle de qualidade/validação na resolução.
- Libere a resolução.
- Compartilhe lições aprendidas com equipes de desenvolvimento.
- A Signify usará os processos existentes de notificação do cliente para gerenciar o lançamento de patches ou correções de segurança, que podem incluir, sem limitação e a critério exclusivo da Signify, notificação direta ao cliente ou lançamento público de uma notificação de aconselhamento em nosso site.
Importante:
- Evite incluir informações pessoais confidenciais em quaisquer capturas de tela ou outros anexos que você nos fornecer. Faça um esforço de boa-fé para não acessar ou destruir os dados de outro usuário.
- Não realize nenhuma vulnerabilidade ou teste semelhante em aplicativos, produtos ou serviços que estejam em uso ativo. Os testes de vulnerabilidade só devem ser realizados em dispositivos ou aplicações, produtos ou serviços que não estejam atualmente em uso ou não sejam destinados ao uso.
- Para aplicativos, produtos ou serviços de bases web, use ambientes de demonstração/teste para realizar testes de vulnerabilidade.
- Não tire proveito da vulnerabilidade ou do problema que você descobriu; exemplo, baixando mais dados do que o necessário para demonstrar a vulnerabilidade ou excluindo ou modificando quaisquer dados.
- Após o teste de vulnerabilidade, cada dispositivo deve ser testado novamente para garantir que nenhum dano foi causado e que o dispositivo está adequado para uso. Caso o aplicativo, produto ou serviço seja atendido por um provedor, entre em contato com seu provedor de serviços antes de o dispositivo ser colocado novamente em uso.
- Como parte da coordenação responsável da divulgação de vulnerabilidades, encorajamos você a trabalhar com a Signify na seleção de datas de lançamento público para obter informações sobre vulnerabilidades descobertas. Para minimizar a possibilidade de riscos de segurança pública, privacidade e segurança, solicitamos a sua cooperação na sincronização da divulgação de informações. Por favor, informe-nos sobre seus planos de divulgação, se houver, antes da divulgação pública.
- As ações do divulgador não devem ser desproporcionais, tais como, incluindo, sem limitação:
- Usar engenharia social para obter acesso ao aplicativo, produto ou serviço.
- Construir seu próprio backdoor em um aplicativo, produto ou serviço de informação com a intenção de usá-lo para demonstrar a vulnerabilidade, pois isso pode causar danos adicionais e criar riscos de segurança desnecessários.
- Utilizar uma vulnerabilidade além do necessário para estabelecer sua existência.
- Copiar, modificar ou excluir dados do aplicativo, produto ou serviço. Uma alternativa para isso é fazer uma listagem em diretório do aplicativo, produto ou serviço.
- Fazer alterações no aplicativo, produto ou serviço.
- Obter acesso repetidamente ao aplicativo, produto ou serviço ou compartilhar o acesso com outras pessoas.
- Usar ataques de força bruta para obter acesso ao aplicativo, produto ou serviço. Esta não é uma vulnerabilidade em sentido estrito, mas sim uma tentativa repetida de senhas.
- A Signify fornecerá crédito total aos pesquisadores que fizerem um relatório de vulnerabilidade ou realizarem testes, em informações de lançamento de patch ou correção de segurança lançadas publicamente, se solicitado.
Nota: Caso decida compartilhar qualquer informação com a Signify, você concorda que as informações enviadas serão consideradas não proprietárias e não confidenciais e que a Signify poderá usar tais informações de qualquer maneira, no todo ou em parte, sem qualquer restrição. Além disso, você concorda que o envio de informações não cria quaisquer direitos para você ou qualquer obrigação para a Signify.
Última atualização: 28 de janeiro de 2019