Política de Divulgação de Vulnerabilidades de Software

Introdução

Esta política de divulgação de vulnerabilidades aplica-se a todas as vulnerabilidades que esteja a ponderar comunicar à Trust International B.V. Recomendamos que leia esta política na íntegra antes de comunicar uma vulnerabilidade e que atue sempre em conformidade com a mesma. Valorizamos quem dedica tempo e esforço para comunicar vulnerabilidades de segurança de acordo com esta política. No entanto, não oferecemos qualquer garantia de recompensa monetária por divulgações de vulnerabilidades.

Comunicação

Se acredita ter encontrado uma vulnerabilidade de segurança, envie-nos a sua comunicação para o seguinte e-mail: recall@trust.com

Na sua comunicação, inclua informações de:

  • Ativo (endereço web, endereço IP, nome do produto ou serviço) onde a vulnerabilidade pode ser observada.
  • Título da vulnerabilidade.
  • Descrição da vulnerabilidade (deve incluir um resumo, ficheiros de apoio e possíveis mitigações ou recomendações).
  • Impacto (o que poderia fazer um atacante?).
  • Medidas a reproduzir. Devem ser uma prova de conceito benigna e não destrutiva. Isto ajuda a garantir que a comunicação pode ser triada de forma rápida e precisa. Também reduz a probabilidade de comunicações duplicadas ou de exploração maliciosa de algumas vulnerabilidades, como aquisições de subdomínios.

O que esperar

Depois de enviar a sua comunicação, responderemos à mesma no prazo de 5 dias úteis e faremos a triagem da mesma no prazo de 10 dias úteis. Também tentaremos mantê-lo informado sobre o nosso progresso.

A prioridade de reparação é avaliada analisando o impacto, a gravidade e a complexidade da exploração. As comunicações de vulnerabilidades podem levar algum tempo a ser triadas ou resolvidas. Pode questionar sobre o estado da comunicação, mas evite fazê-lo mais de uma vez a cada 14 dias. Isto permite que as nossas equipas se concentrem na reparação.

Notificá-lo-emos quando a vulnerabilidade comunicada for corrigida, e poderá ser convidado a confirmar se a solução resolve a vulnerabilidade adequadamente.

Assim que a sua vulnerabilidade for resolvida, aceitaremos pedidos para divulgar a sua comunicação. Gostaríamos de unificar as orientações para os utilizadores afetados, por isso, continue a coordenar a divulgação pública connosco.

Orientação

NÃO:

  • Infrinja qualquer lei ou regulamento aplicável.
  • Aceda a quantidades desnecessárias, excessivas ou significativas de dados.
  • Modifique os dados nos sistemas ou serviços da organização.
  • Utilize ferramentas de leitura invasivas ou destrutivas de alta intensidade para encontrar vulnerabilidades.
  • Tente ou denuncie qualquer forma de negação de serviço, por exemplo, sobrecarregar um serviço com um elevado volume de pedidos.
  • Perturbe os serviços ou sistemas da organização.

Divulgação

Antes da divulgação, faremos o seguinte (quando aplicável):

  • Triagem e Validação do relatório de descoberta.
  • Comunicaremos o cronograma de mitigação (quando aplicável) e divulgação (quando aplicável) (podemos pedir a prorrogação do Período de Embargo).
  • Comunicaremos com outras partes numa Divulgação Coordenada Multipartes.
  • Obteremos Identificador(es) de Enumeração de Vulnerabilidade Comum (CVE) para rastreio.
  • Comunicaremos a estratégia de reparação.
  • Conforme apropriado, publicaremos a divulgação em www.trust.com

Acordos com Clientes e Considerações Legais

Os direitos dos clientes relativos a garantias, apoio e manutenção de produtos ou serviços da Trust International B.V. são regulados exclusivamente pelos nossos Termos e Condições de Venda Tipo, em conjunto com quaisquer outros acordos aplicáveis entre a Trust International B.V. e o cliente individual.

Nada neste documento altera ou amplia quaisquer direitos existentes do cliente, nem cria novas garantias, expressas ou implícitas. Qualquer informação enviada à Trust International B.V. sobre potenciais vulnerabilidades — incluindo detalhes numa comunicação de vulnerabilidades — passará a ser propriedade exclusiva da Trust International B.V. e poderá ser utilizada segundo o nosso critério, sem obrigação de compensar ou creditar a parte que a enviou.