Esta política define orientações claras sobre o processo de colaboração entre a Socomec e qualquer outra pessoa singular ou colectiva, incluindo investigadores de segurança, que possam reportar uma vulnerabilidade encontrada nos produtos da Socomec.

Esta política descreve o canal de comunicação disponibilizado para reportar vulnerabilidades, o nosso procedimento para tratar os relatórios recebidos (incluindo os nossos tempos de processamento durante os quais o investigador é solicitado a não divulgar a vulnerabilidade a terceiros) e todas as fases de colaboração, desde o contacto inicial até à implementação do patch.

A Socomec valoriza esta colaboração e faz todos os esforços para tratar as comunicações recebidas de forma eficiente e atempada. Encorajamos toda e qualquer pessoa a contactar-nos em primeiro lugar e a comunicar potenciais vulnerabilidades nos nossos produtos, permitindo-nos fornecer medidas corretivas que sirvam a segurança dos nossos utilizadores e do público em geral.

A Socomec não oferece recompensas por bugs, mas a nossa Política de Divulgação de Vulnerabilidades (VDP) inclui um mural da fama através do qual comunicaremos abertamente a sua contribuição na identificação e correção das vulnerabilidades dos nossos produtos, se assim o desejar.

 

Âmbito

A Política de Divulgação de Vulnerabilidades aplica-se a qualquer pessoa ou entidade, nomeadamente investigadores de segurança, e abrange todas as vulnerabilidades relacionadas com todos os produtos, aplicações e serviços da Socomec, bem como todos os websites da Socomec.

 

Orientações

Por favor, respeite as seguintes diretrizes ao comunicar uma vulnerabilidade.

A exposição de vulnerabilidades dos nossos produtos na arena pública pode ter consequências graves e pode prejudicar os interesses da Socomec. Reservamo-nos todos os direitos de intentar uma ação legal contra qualquer pessoa singular e/ou colectiva que possa infligir danos à Socomec por ignorar e/ou infringir as seguintes diretrizes.

 

Do

  • Notifique a Socomec o mais rapidamente possível depois de descobrir um problema de segurança real ou potencial;
  • Descreva a localização da vulnerabilidade que foi descoberta e o seu potencial impacto;
  • Faça uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade (scripts de prova de conceito ou capturas de ecrã são úteis);
  • Escreva o seu relatório em inglês;.
  • Faça todos os esforços para evitar violações de privacidade, degradação da experiência do utilizador, perturbação dos sistemas de produção e destruição ou manipulação de dados;
  • Utilize exploits apenas na medida do necessário para confirmar a presença de uma vulnerabilidade. Não utilize uma exploração para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comandos ou utilizar a exploração para aceder a outros sistemas;
  • Concorde em não divulgar publicamente uma vulnerabilidade comunicada até que uma correção ou atenuação tenha sido lançada e tenha recebido a aprovação da Socomec.

Don't

  • Submeter um grande volume de relatórios de baixa qualidade;
  • Exigir uma compensação financeira em troca dos seus relatórios;
  • Planejar testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudiquem o acesso ou danifiquem um sistema ou dados;
  • Realizar um teste físico (por exemplo, acesso ao escritório), engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico.

Relatar uma vulnerabilidade

As informações enviadas ao abrigo desta política serão utilizadas apenas para fins defensivos - para mitigar ou corrigir vulnerabilidades. A Socomec não partilhará a sua identidade ou informações de contacto sem a sua autorização expressa.

Pode submeter os seus relatórios de vulnerabilidade utilizando este formulário ou através de cyberalert@socomec.com. Os relatórios podem ser enviados de forma anónima. No seu relatório, especifique:

  • Uma descrição da vulnerabilidade;
  • O potencial impacto da vulnerabilidade;
  • O produto e a sua versão afectados;
  • Os detalhes CVSS: vetor de ataque, complexidade do ataque, privilégios necessários, interação do utilizador, âmbito e o impacto na confidencialidade, integridade e disponibilidade.

 

O que pode esperar da Socomec

Após a submissão do relatório:

  • Notificaremos a receção do relatório no prazo de 72 horas a partir da sua receção;
  • Realizaremos a qualificação da vulnerabilidade no prazo de 30 dias a partir da data de receção do relatório. Caso existam problemas específicos que nos impeçam de cumprir este prazo, comunicaremos prontamente um novo prazo razoável e proporcionado para concluir esta qualificação;
  • Corrigiremos a vulnerabilidade e publicaremos a correção da vulnerabilidade crítica e importante no prazo de 60 dias a contar da data da qualificação. Em caso de dificuldades específicas que nos impeçam de cumprir este prazo, comunicaremos prontamente um novo prazo razoável e proporcional para a conclusão desta qualificação.

 

Perguntas

As perguntas relativas a esta política podem ser enviadas para cyberalert@socomec.com. Convidamo-lo também a contactar a Socomec com sugestões para melhorar esta política.

Comunicar um incidente / vulnerabilidade
Contacte-nos para comunicar um incidente ou uma vulnerabilidade num dos nossos produtos ou serviços.
Comunicar uma vulnerabilidade
Cibersegurança e proteção de dados
A segurança dos seus dados encontra-se no centro de tudo o que fazemos. Saiba como é que lhe fornecemos ligações seguras e fiáveis através da nossa política de cibersegurança.
Os nossos compromissos com a cibersegurança