Política de divulgação responsável

Na Kiwa damos muita importância à segurança dos nossos sistemas ICT e websites. Portanto, esforçamos-nos por atingir o nível mais elevado possível de segurança. Ainda assim, pode existir um ponto fraco. Pedimos-lhe que não utilize indevidamente uma vulnerabilidade, mas que nos reporte a situação para que possamos tomar as medidas necessárias.

Encontrou uma vulnerabilidade neste website ou num dos nossos outros sistemas (online)? Comunique-nos a situação o mais depressa possível. Faço-o antes de anunciar a “falha” ao mundo lá fora. Assim, podemos fazer algo a respeito disso o mais depressa possível.

Temos todo o gosto em trabalhar em conjunto para proteger melhor os nossos sistemas e para corrigir uma vulnerabilidade o mais depressa possível. No entanto, a nossa política de divulgação responsável não é um convite para examinar ativamente os nossos sistemas relativamente a pontos fracos.

Reportar uma vulnerabilidade

Gostávamos muito se saber se encontrou uma vulnerabilidade. Tenha em mente o seguinte:

  • Após a descoberta reporte a vulnerabilidade o mais depressa possível por e-mail para responsibledisclosure@kiwa.nl.
  • Forneça-nos informação suficiente para reproduzirmos o problema. Podemos, então, resolver o problema o mais depressa possível. Normalmente, o endereço IP ou URL do sistema afetado e uma descrição da vulnerabilidade são suficientes. Em caso de vulnerabilidades mais complexas, poderá ser necessário mais informação; nesse caso, pedimos-lhe que nos forneça mais informação.
  • Inclua os seus dados de contacto (endereço de e-mail e número de telefone) para que possamos entrar em contacto consigo.
  • Não partilhe informações sobre o problema de segurança com terceiros até termos resolvido o problema.
  • Seja responsável acerca do conhecimento sobre o problema de segurança. Não execute qualquer ação para além do necessário para mostrar o problema de segurança.

O seu relatório cumpre estas condições? Então, não haverá repercussões legais.

Não utilize indevidamente um ponto fraco

Se descobrir uma vulnerabilidade, não faça mau uso da mesma, por exemplo:

  • colocando vírus;
  • copiando, modificando ou apagando dados num sistema ou criando uma lista de diretório;
  • fazendo alterações no sistema;
  • acedendo repetidamente ao sistema ou partilhando o acesso com outros;
  • utilizando o sistema como portal para outros sistemas;
  • utilizando a força bruta para entrar nos sistemas;
  • utilizando recusa de serviço ou engenharia social;

Como processamos o seu relatório

Reportou um ponto fraco num dos nossos sistemas de ICT ou websites? Então, iremos tratar o seu relatório como se segue:

  • Irá receber uma confirmação de receção do seu relatório dentro de um dia útil.
  • Iremos responder ao seu relatório no prazo de cinco dias úteis. A nossa resposta contém uma avaliação do relatório e uma data expectável para a solução.
  • Iremos mantê-lo/a informado/a, como declarante, sobre o progresso do problema.
  • Tratamos o seu relatório confidencialmente e não partilhamos os seus dados pessoais com terceiros sem a sua autorização, exceto se formos obrigados a fazê-lo por lei ou ordem do tribunal.

Solução para uma vulnerabilidade

Resolvemos um problema de segurança reportado o mais depressa possível, mas seja como for no prazo de 60 dias. Juntamente consigo enquanto declarante determinamos se e como comunicamos o problema. Fazemos sempre isso apenas depois de termos resolvido o problema.

E para terminar

A Kiwa poderá rever a política respeitante à divulgação responsável se houver motivo para o fazer. A política atualizada está sempre nesta página.

Rijswijk, dezembro de 2018