Política de Divulgação de Vulnerabilidades | OneSuite

Relatar vulnerabilidades nos sistemas OneSuite

Introducao

Na OneSuite, a seguranca da informacao e uma prioridade maxima, e estamos comprometidos em proteger a confidencialidade, integridade e disponibilidade de nossos sistemas e dados. Esta politica fornece aos pesquisadores de seguranca diretrizes claras para a realizacao de pesquisas de vulnerabilidades e descreve como as vulnerabilidades podem ser reportadas de forma responsavel.

Este documento especifica quais sistemas e tipos de pesquisa sao cobertos por esta politica, como enviar relatorios de vulnerabilidades e os prazos que sugerimos para divulgacao publica.

Incentivamos os pesquisadores de seguranca a relatar vulnerabilidades conforme descrito nesta politica. Seus esforcos nos ajudam a resolver problemas potenciais e a manter a seguranca do ecossistema OneSuite.

Autorizacao

Se voce fizer um esforco de boa-fe para cumprir esta politica, a OneSuite considera sua pesquisa como autorizada. Trabalharemos com voce para entender e resolver o problema rapidamente, e nao recomendaremos nem buscaremos acoes legais relacionadas a sua pesquisa.

Caso um terceiro inicie acoes legais contra voce por atividades realizadas de acordo com esta politica, a OneSuite tornara conhecida esta autorizacao.

Diretrizes

Sob esta politica, "pesquisa" refere-se a atividades nas quais voce:

  • Nos notifica o mais rapido possivel apos descobrir um problema de seguranca real ou potencial.
  • Realiza a analise apenas dentro do escopo definido.
  • Evita violacoes de privacidade, degradacao da experiencia do usuario, interrupcao de sistemas de producao e destruicao ou manipulacao de dados.
  • Utiliza exploits apenas na medida necessaria para confirmar a existencia de uma vulnerabilidade. Nao utilize exploits para comprometer ou exfiltrar dados, obter acesso a linha de comando ou pivotar para outros sistemas.
  • Nos concede um prazo razoavel para corrigir o problema antes de divulga-lo publicamente.
  • Evita enviar um grande volume de relatorios de baixa qualidade.

Uma vez que voce tenha determinado que uma vulnerabilidade existe, ou encontre dados sensiveis (incluindo dados pessoais, dados financeiros ou informacoes proprietarias ou segredos comerciais de qualquer parte), voce deve interromper seu teste, nos notificar imediatamente e nao divulgar esses dados a ninguem.

Escopo

Esta politica se aplica aos seguintes sistemas e servicos:

  • *.onesuite.io

Problemas fora do escopo

Os seguintes problemas sao considerados fora do escopo desta politica:

  • Testes de ativos de clientes da OneSuite.
  • Alucinacoes de modelos.
  • Problemas de moderacao de conteudo ou recrutamento.
  • Praticas de seguranca mitigadas por outros controles (por exemplo, cabecalhos de seguranca ausentes).
  • Engenharia social, phishing e ataques fisicos.
  • Problemas como sinalizadores de cookies ausentes, CSRF de baixo impacto (por exemplo, CSRF de login/logout), falsificacao de conteudo ou rastreamentos de pilha.
  • Vulnerabilidades sem impacto de seguranca demonstravel.
  • Ataques DOS/DDOS.
  • Injecao de cabecalho de host sem impacto.
  • Saida de scanner, mensagens de erro do servidor (a menos que revelem informacoes criticas).
  • Relatorios sobre navegadores desatualizados ou erros nao criticos.

Todos os servicos nao listados explicitamente na secao "Escopo" acima, como servicos conectados, estao excluidos do escopo e nao estao autorizados para testes. Alem disso, vulnerabilidades encontradas nos sistemas de nossos fornecedores estao fora do escopo desta politica e devem ser reportadas diretamente ao fornecedor de acordo com sua politica de divulgacao (se disponivel). Se voce nao tiver certeza se um sistema esta no escopo, entre em contato conosco em [email protected] antes de iniciar sua pesquisa.

Reconhecimento

Embora a OneSuite nao ofereca atualmente recompensas financeiras, valorizamos suas contribuicoes. Como sinal de nosso agradecimento, reconheceremos sua ajuda em nossa pagina de Reconhecimentos de Divulgacao de Seguranca, a menos que voce prefira permanecer anonimo. Estamos trabalhando na implementacao de um programa de recompensas por bugs para permitir recompensas financeiras no futuro.

Relatar uma vulnerabilidade

As informacoes enviadas sob esta politica serao utilizadas exclusivamente para fins defensivos. Se suas descobertas revelarem vulnerabilidades que afetam a comunidade de usuarios em geral, podemos compartilhar seu relatorio com a Cybersecurity and Infrastructure Security Agency (CISA). Nao divulgaremos seu nome ou informacoes de contato sem sua permissao.

O que gostaríamos de ver

Para nos ajudar a classificar e priorizar as submissoes de forma eficaz, forneca o seguinte:

  • A localizacao e o impacto potencial da vulnerabilidade.
  • Uma descricao detalhada dos passos necessarios para reproduzir a vulnerabilidade (por exemplo, scripts de prova de conceito, capturas de tela).
  • Relatorios em ingles.

O que voce pode esperar de nos

Se voce compartilhar seus dados de contato, nos comprometemos a:

  • Confirmar o recebimento do seu relatorio dentro de 14 dias uteis.
  • Confirmar a existencia da vulnerabilidade e fornecer informacoes sobre nosso processo de remediacao, incluindo possiveis atrasos.

Observe que a OneSuite nao oferece compensacao por vulnerabilidades reportadas. Ao enviar um relatorio, voce renuncia a quaisquer reivindicacoes de compensacao.

Perguntas

Para perguntas ou sugestoes sobre esta politica, entre em contato conosco em [email protected].

Ultima atualizacao: November 12, 2024