Política de Divulgação da Vulnerabilidades do Grupo Kistler

No sentido de melhorar a sua segurança, o Grupo Kistler acolhe com agrado as informações dos investigadores de segurança e do público em geral. Se acredita ter descoberto uma vulnerabilidade, questão de privacidade, problema de exposição de dados, ou outras questões de segurança em qualquer dos nossos recursos, queremos sabê-lo. A presente Política descreve os passos para nos comunicar vulnerabilidades, o que esperamos, e o que pode esperar de nós.

Sistemas abrangidos

A presente Política aplica-se a:

  • Todos os produtos do Grupo Kistler
  • Todos os sistemas do Grupo Kistler orientados para a Internet
  • Não consideramos a pura ausência de um elemento de segurança como uma vulnerabilidade de segurança.
  • Não temos interesse em achados que sejam gerados por scanners automatizados – cabeçalhos HTTP em falta, configurações TLS, “Cookie flags”, “Clickjacking”, etc., exceto se os puder utilizar para criar uma exploração PoC significativa.

Sistemas não abrangidos

Itens gerais fora do âmbito

  • Ataques de “negação de serviço”
  • Engenharia social
  • “Phishing”
  • Acesso físico às instalações Kistler ou às instalações dos parceiros Kistler
  • Bens ou outros equipamentos que não sejam propriedade das partes que participam na presente Política

As vulnerabilidades descobertas ou suspeitas em sistemas fora de âmbito devem ser comunicadas ao fornecedor apropriado ou à autoridade aplicável.

Itens especiais dentro do âmbito

  • www.kistler.com: website principal – com base no Typo3, só estamos interessados em vulnerabilidades críticas, como a “Remote Code Execution (RCE)”

Os nossos compromissos

Ao trabalhar connosco, de acordo com a presente Política, pode esperar que nós:

  • Respondamos prontamente à sua denúncia, e trabalhemos consigo para compreender e validar a sua denúncia
  • Nos esforcemos por mantê-lo informado sobre o progresso de uma vulnerabilidade, à medida que ela é processada
  • Trabalhemos para remediar as vulnerabilidades descobertas de forma atempada, dentro dos nossos constrangimentos operacionais
  • Ampliemos o “Safe Harbor” para a sua pesquisa de vulnerabilidade que esteja relacionada com a presente Política

As nossas expectativas

Ao participar de boa-fé no nosso Programa de Divulgação de Vulnerabilidades, pedimos-lhe que:

  • Respeite as regras, inclusive o cumprimento da presente Política e de outros acordos relevantes. Se houver alguma inconsistência entre a presente Política e outro termo aplicável, prevalecerão os termos da presente Política
  • Denuncie prontamente qualquer vulnerabilidade identificada
  • Evite a infração da privacidade dos outros, a perturbação dos nossos sistemas, a destruição de dados, e/ou o prejuízo da experiência do utilizador
  • Utilize apenas os Canais Oficiais para trocar informações connosco sobre a vulnerabilidade
  • Efetue testes apenas em sistemas de âmbito interno, e que respeite os sistemas e atividades que estejam fora do âmbito
  • Se uma vulnerabilidade proporcionar o acesso não intencional aos dados: limite a quantidade de dados a que tem acesso ao mínimo necessário para demonstrar eficazmente uma Prova de Conceito; e suspenda os testes e apresente um relatório de imediato se encontrar qualquer dado do utilizador durante os testes, tal como Informação Pessoal Identificável (PII), Informação Pessoal de Saúde (PHI), dados de cartão de crédito, ou informação proprietária
  • Apenas interaja com as contas teste que possua ou com autorização explícita do titular da conta
  • Não pratique extorsão

Política de Divulgação

Divulgação coordenada: os detalhes da vulnerabilidade podem ser partilhados com terceiros após a vulnerabilidade ter sido corrigida e o Proprietário do Programa ter dado permissão para a divulgação.

Canais Oficiais

Por favor, utilize os nossos canais oficiais para comunicar questões de segurança, disponibilizando as informações relevantes. Quanto mais detalhes nos fornecer, mais fácil será para nós fazer a triagem e corrigir a questão.
Os canais oficiais são:

-----BEGIN PGP PUBLIC KEY BLOCK-----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=lVoV
-----END PGP PUBLIC KEY BLOCK-----

“Safe Harbor”

Ao realizarmos uma investigação sobre a vulnerabilidade, de acordo com a presente Política, consideramos que a investigação realizada no âmbito da presente Política é:

  • Autorizada no que diz respeito a todas as leis de “anti-hacking” aplicável, e não iniciaremos ou apoiaremos qualquer ação legal contra si por infrações acidentais e de boa-fé a esta Política
  • Autorizada relativamente a todas as leis de “anti-evasão” relevantes, e não apresentaremos qualquer queixa contra si por evasão aos comandos tecnológicos
  • Isenta de restrições nos nossos Termos de Serviço e/ou Política de Utilização Aceitável que interfiram na realização de investigação de segurança, e renunciamos a essas restrições numa base limitada
  • Lícita, útil para a segurança geral da Internet, e conduzida de boa-fé

Espera-se, como sempre, que cumpra com todas as leis aplicáveis. Se for iniciada uma ação judicial por terceiros contra si e se tiver cumprido esta Política, tomaremos medidas para dar a conhecer que as suas ações foram conduzidas em conformidade com a presente Política.

Se, em algum momento, tiver preocupações ou incertezas quanto à consistência da sua investigação de segurança com esta Política, antes de prosseguir, envie um relatório através de um dos nossos Canais Oficiais.

Legal

A Kistler reserva-se o direito de alterar os termos e condições da presente Política e a sua participação constitui a aceitação de todos os termos. Por favor, consulte esta página periodicamente, conforme atualizamos rotineiramente os termos da nossa Política e elegibilidade, que são efetivos no momento da sua publicação. Reservamo-nos o direito de cancelar a presente Política a qualquer momento.

Versão: 24/03/2021