Política de Divulgação de Vulnerabilidades da BigID

Introdução

A BigID está comprometida em fornecer software seguro aos nossos clientes. A Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID incentiva e valoriza o envio responsável de relatórios de vulnerabilidades que nos ajudam a manter a segurança de nossos produtos e sistemas. Esta Política de Divulgação de Vulnerabilidades (VDP) foi elaborada para orientar pesquisadores de segurança na condução de atividades de descoberta de vulnerabilidades e no envio de relatórios de vulnerabilidades à BigID.

Escopo

A política se aplica a estes domínios:

• *.bigid.com
• *.bigid.cloud
• *.bigidprivacy.cloud

Os seguintes tipos de vulnerabilidades estão fora do escopo desta política:

• Bibliotecas vulneráveis previamente conhecidas sem uma prova de conceito funcional.
• Vulnerabilidades que afetam apenas usuários de navegadores desatualizados ou sem as devidas atualizações.
• Ataques que exigem MITM para serem explorados.
• Problemas de falsificação de conteúdo e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS.
• Vulnerabilidades teóricas que exigem interação ou circunstâncias improváveis do usuário (sequestro de link quebrado, captura de aba, etc.).
• Vulnerabilidades que não demonstram impacto real na segurança (clickjacking, CSRF em endpoints não sensíveis, etc.).
• Medidas opcionais de reforço de segurança / Ausência de boas práticas (configurações SSL/TLS, opiniões sobre configuração de CSP, etc.).
• Vulnerabilidades que podem exigir testes arriscados. Este tipo de teste nunca deve ser tentado, a menos que seja explicitamente autorizado por escrito pela BigID (DoS, DDoS, ataques de engenharia social, etc.).

Processo

A BigID aceita relatórios de vulnerabilidades dentro do escopo através do endereço [email protected]. Por favor, inclua todos os detalhes relevantes em seu relatório, incluindo:

• Detalhes sobre o impacto da CIA, idealmente com uma avaliação baseada na calculadora CVSS;
• Passos detalhados para reproduzir a vulnerabilidade; e
• Ativos, domínios e/ou softwares afetados.

A BigID valoriza a transparência e a cooperação em todo o processo de reporte. Nosso objetivo é acusar o recebimento dos relatórios prontamente e compartilhar atualizações de status relevantes com os denunciantes com a frequência que a disponibilidade da PSIRT e os procedimentos de segurança permitirem.

Em contrapartida, solicitamos que se abstenha de divulgar a vulnerabilidade ao público ou a terceiros até que a BigID tenha tido a oportunidade de validar e corrigir a vulnerabilidade e notificar os usuários afetados. Após isso, pedimos que coordene com a BigID o momento e o conteúdo de qualquer divulgação. Também solicitamos que faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados durante todo o processo.

A BigID não oferece pagamento por vulnerabilidades relatadas de acordo com esta política. A compensação é concedida apenas para determinados relatórios enviados por meio do Programa de Recompensa por Bugs da BigID, via HackerOne. Para obter mais informações sobre o escopo dos ativos e os critérios de elegibilidade para o Programa de Recompensa por Bugs da BigID, entre em contato conosco pelo endereço [email protected].

Porto Seguro

A BigID adotou o padrão Gold Standard Safe Harbor para apoiar a proteção de organizações e hackers envolvidos em pesquisa de segurança de boa-fé. "Pesquisa de segurança de boa-fé" significa acessar um computador exclusivamente para fins de teste, investigação e/ou correção de uma falha ou vulnerabilidade de segurança, quando essa atividade é realizada de maneira a evitar danos a indivíduos ou ao público, e quando as informações derivadas da atividade são usadas principalmente para promover a segurança da classe de dispositivos, máquinas ou serviços online à qual o computador acessado pertence ou daqueles que usam tais dispositivos, máquinas ou serviços online.

Consideramos a Pesquisa de Segurança de Boa-Fé como uma atividade autorizada e protegida de ações legais adversas por nossa parte. Renunciamos a qualquer restrição relevante em nossos Termos de Uso que conflite com o padrão de Pesquisa de Segurança de Boa-Fé aqui descrito.

Isso significa que, para pesquisas de segurança de boa-fé conduzidas com o intuito de cumprir nossa política de programa e enquanto este programa estiver ativo, nós:

• Não tomaremos medidas legais contra você nem o denunciaremos, inclusive por burlar as medidas tecnológicas que utilizamos para proteger os aplicativos em questão; e,
• Tomarei as medidas necessárias para divulgar que realizei uma pesquisa de segurança de boa-fé caso alguém entre com uma ação judicial contra mim.

Você deve entrar em contato conosco através do endereço [email protected] para esclarecimentos antes de se envolver em qualquer conduta que considere inconsistente com a Pesquisa de Segurança de Boa-Fé ou não abordada por nossa política.

Lembre-se de que não podemos autorizar pesquisas de segurança em infraestrutura de terceiros e que terceiros não estão vinculados a esta declaração de isenção de responsabilidade.