Política de divulgação responsável
Na Kiwa Sativa damos muita importância à segurança dos nossos sistemas ICT e websites. Portanto, esforçamos-nos por atingir o nível mais elevado possível de segurança. Ainda assim, pode existir um ponto fraco. Pedimos-lhe que não utilize indevidamente uma vulnerabilidade, mas que nos reporte a situação para que possamos tomar as medidas necessárias.
Encontrou uma vulnerabilidade neste website ou num dos nossos outros sistemas (online)? Comunique-nos a situação o mais depressa possível. Faço-o antes de anunciar a “falha” ao mundo lá fora. Assim, podemos fazer algo a respeito disso o mais depressa possível.
Temos todo o gosto em trabalhar em conjunto para proteger melhor os nossos sistemas e para corrigir uma vulnerabilidade o mais depressa possível. No entanto, a nossa política de divulgação responsável não é um convite para examinar ativamente os nossos sistemas relativamente a pontos fracos.
Reportar uma vulnerabilidade
Gostávamos muito se saber se encontrou uma vulnerabilidade. Tenha em mente o seguinte:
- Após a descoberta reporte a vulnerabilidade o mais depressa possível por e-mail para responsibledisclosure@kiwa.nl.
- Forneça-nos informação suficiente para reproduzirmos o problema. Podemos, então, resolver o problema o mais depressa possível. Normalmente, o endereço IP ou URL do sistema afetado e uma descrição da vulnerabilidade são suficientes. Em caso de vulnerabilidades mais complexas, poderá ser necessário mais informação; nesse caso, pedimos-lhe que nos forneça mais informação.
- Inclua os seus dados de contacto (endereço de e-mail e número de telefone) para que possamos entrar em contacto consigo.
- Não partilhe informações sobre o problema de segurança com terceiros até termos resolvido o problema.
- Seja responsável acerca do conhecimento sobre o problema de segurança. Não execute qualquer ação para além do necessário para mostrar o problema de segurança.
O seu relatório cumpre estas condições? Então, não haverá repercussões legais.
Não utilize indevidamente um ponto fraco
Se descobrir uma vulnerabilidade, não faça mau uso da mesma, por exemplo:
- colocando vírus;
- copiando, modificando ou apagando dados num sistema ou criando uma lista de diretório;
- fazendo alterações no sistema;
- acedendo repetidamente ao sistema ou partilhando o acesso com outros;
- utilizando o sistema como portal para outros sistemas;
- utilizando a força bruta para entrar nos sistemas;
- utilizando recusa de serviço ou engenharia social;
Como processamos o seu relatório
Reportou um ponto fraco num dos nossos sistemas de ICT ou websites? Então, iremos tratar o seu relatório como se segue:
- Irá receber uma confirmação de receção do seu relatório dentro de um dia útil.
- Iremos responder ao seu relatório no prazo de cinco dias úteis. A nossa resposta contém uma avaliação do relatório e uma data expectável para a solução.
- Iremos mantê-lo/a informado/a, como declarante, sobre o progresso do problema.
- Tratamos o seu relatório confidencialmente e não partilhamos os seus dados pessoais com terceiros sem a sua autorização, exceto se formos obrigados a fazê-lo por lei ou ordem do tribunal.
Solução para uma vulnerabilidade
Resolvemos um problema de segurança reportado o mais depressa possível, mas seja como for no prazo de 60 dias. Juntamente consigo enquanto declarante determinamos se e como comunicamos o problema. Fazemos sempre isso apenas depois de termos resolvido o problema.
E para terminar
A Kiwa Sativa poderá rever a política respeitante à divulgação responsável se houver motivo para o fazer. A política atualizada está sempre nesta página.
Rijswijk, dezembro de 2018