Política de divulgação de vulnerabilidades do BigID

Introdução

A BigID está comprometida em fornecer software seguro aos nossos clientes. A Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID incentiva e valoriza relatos responsáveis de vulnerabilidades que nos ajudam a manter a segurança de nossos produtos e sistemas. Esta Política de Divulgação de Vulnerabilidades (VDP) foi elaborada para orientar pesquisadores de segurança na realização de atividades de descoberta de vulnerabilidades e no relato de vulnerabilidades à BigID.

Escopo

A política se aplica a estes domínios:

• *.bigid.com
• *.bigid.cloud
• *.bigidprivacy.cloud

Os seguintes tipos de vulnerabilidades estão fora do escopo desta política:

• Bibliotecas vulneráveis conhecidas anteriormente sem uma Prova de Conceito funcional.
• Vulnerabilidades que afetam apenas usuários de navegadores desatualizados ou sem patches.
• Ataques que exigem MITM para exploração.
• Problemas de falsificação de conteúdo e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS.
• Vulnerabilidades teóricas que exigem interação do usuário ou circunstâncias improváveis (sequestro de link quebrado, tabnabbing, etc.).
• Vulnerabilidades que não demonstram impacto real na segurança (clickjacking, CSRF em endpoints não sensíveis, etc.).
• Etapas opcionais de reforço de segurança / Práticas recomendadas ausentes (configurações SSL/TLS, opiniões sobre configuração de CSP, etc.).
• Vulnerabilidades que podem exigir testes perigosos. Este tipo de teste nunca deve ser tentado, a menos que seja explicitamente autorizado pela BigID por escrito (ataques DoS, DDoS, engenharia social, etc.).

Processo

A BigID aceita denúncias de vulnerabilidades dentro do escopo pelo e-mail [email protected]. Compartilhe todos os detalhes relevantes em sua denúncia, incluindo:

• Detalhes sobre o impacto da CIA, idealmente com uma avaliação baseada na calculadora CVSS;
• Etapas detalhadas para reproduzir a vulnerabilidade; e
• Ativos, domínios e/ou softwares afetados.

A BigID preza pela transparência e cooperação durante todo o processo de denúncia. Nosso objetivo é reconhecer prontamente as denúncias e compartilhar atualizações de status pertinentes com os denunciantes com a frequência que a disponibilidade e os procedimentos de segurança da PSIRT permitirem.

Em troca, pedimos que você se abstenha de divulgar a vulnerabilidade ao público ou a terceiros até que a BigID tenha a oportunidade de validar e corrigir a vulnerabilidade e notificar os usuários afetados. Após isso, pedimos que você coordene com a BigID o momento e o conteúdo de qualquer divulgação. Também pedimos que você faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados durante todo o processo.

A BigID não oferece pagamento por vulnerabilidades reportadas sob esta política. A compensação é fornecida apenas para determinados relatórios enviados através do Programa de Recompensa por Bugs da BigID, via HackerOne. Para mais informações sobre o escopo dos ativos e a elegibilidade para o Programa de Recompensa por Bugs da BigID, entre em contato conosco pelo e-mail [email protected].

Porto Seguro

A BigID adotou o Gold Standard Safe Harbor para apoiar a proteção de organizações e hackers envolvidos em Pesquisa de Segurança de Boa-Fé. "Pesquisa de Segurança de Boa-Fé" é o acesso a um computador exclusivamente para fins de testes, investigação e/ou correção de boa-fé de uma falha ou vulnerabilidade de segurança, onde tal atividade é realizada de forma a evitar qualquer dano a indivíduos ou ao público, e onde as informações derivadas da atividade são usadas principalmente para promover a segurança da classe de dispositivos, máquinas ou serviços online aos quais o computador acessado pertence ou daqueles que utilizam tais dispositivos, máquinas ou serviços online.

Consideramos a Pesquisa de Segurança de Boa-Fé uma atividade autorizada e protegida contra ações judiciais adversas da nossa parte. Renunciamos a qualquer restrição relevante em nossos Termos de Uso que entre em conflito com os padrões para Pesquisa de Segurança de Boa-Fé aqui descritos.

Isso significa que, para a Good Faith Security Research conduzida com um esforço de boa-fé para cumprir com a política do nosso programa e enquanto este programa estiver ativo, nós:

• Não moverá nenhuma ação legal contra você nem o denunciará, inclusive por contornar as medidas tecnológicas que usamos para proteger os aplicativos em escopo; e,
• Tomaremos medidas para informar que você conduziu uma Pesquisa de Segurança de Boa-Fé, caso outra pessoa mova uma ação legal contra você.

Você deve entrar em contato conosco pelo e-mail [email protected] para obter esclarecimentos antes de se envolver em conduta que você acha que pode ser inconsistente com a Good Faith Security Research ou não abordada por nossa política.

Tenha em mente que não podemos autorizar pesquisas de segurança em infraestrutura de terceiros e terceiros não estão vinculados a esta declaração de porto seguro.