Introdução
A BigID está comprometida em fornecer software seguro aos nossos clientes. A Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID incentiva e valoriza relatos responsáveis de vulnerabilidades que nos ajudam a manter a segurança de nossos produtos e sistemas. Esta Política de Divulgação de Vulnerabilidades (VDP) foi elaborada para orientar pesquisadores de segurança na realização de atividades de descoberta de vulnerabilidades e no relato de vulnerabilidades à BigID.
Escopo
A política se aplica a estes domínios:
- *.bigid.com
- *.bigid.cloud
- *.bigidprivacy.cloud
Os seguintes tipos de vulnerabilidades estão fora do escopo desta política:
- Bibliotecas vulneráveis conhecidas anteriormente sem uma Prova de Conceito funcional.
- Vulnerabilidades que afetam apenas usuários de navegadores desatualizados ou sem patches.
- Ataques que exigem MITM para exploração.
- Problemas de falsificação de conteúdo e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS.
- Vulnerabilidades teóricas que exigem interação do usuário ou circunstâncias improváveis (sequestro de link quebrado, tabnabbing, etc.).
- Vulnerabilidades que não demonstram impacto real na segurança (clickjacking, CSRF em endpoints não sensíveis, etc.).
- Etapas opcionais de reforço de segurança / Práticas recomendadas ausentes (configurações SSL/TLS, opiniões sobre configuração de CSP, etc.).
- Vulnerabilidades que podem exigir testes perigosos. Este tipo de teste nunca deve ser tentado, a menos que seja explicitamente autorizado pela BigID por escrito (ataques DoS, DDoS, engenharia social, etc.).
Processo
A BigID aceita denúncias de vulnerabilidades dentro do escopo pelo e-mail [email protected]. Compartilhe todos os detalhes relevantes em sua denúncia, incluindo:
- Detalhes sobre o impacto da CIA, idealmente com uma avaliação baseada na calculadora CVSS;
- Etapas detalhadas para reproduzir a vulnerabilidade; e
- Ativos, domínios e/ou softwares afetados.
A BigID preza pela transparência e cooperação durante todo o processo de denúncia. Nosso objetivo é reconhecer prontamente as denúncias e compartilhar atualizações de status pertinentes com os denunciantes com a frequência que a disponibilidade e os procedimentos de segurança da PSIRT permitirem.
Em troca, pedimos que você se abstenha de divulgar a vulnerabilidade ao público ou a terceiros até que a BigID tenha a oportunidade de validar e corrigir a vulnerabilidade e notificar os usuários afetados. Após isso, pedimos que você coordene com a BigID o momento e o conteúdo de qualquer divulgação. Também pedimos que você faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados durante todo o processo.
A BigID não oferece pagamento por vulnerabilidades reportadas sob esta política. A compensação é fornecida apenas para determinados relatórios enviados através do Programa de Recompensa por Bugs da BigID, via HackerOne. Para mais informações sobre o escopo dos ativos e a elegibilidade para o Programa de Recompensa por Bugs da BigID, entre em contato conosco pelo e-mail [email protected].
Porto Seguro
A BigID adotou o Gold Standard Safe Harbor para apoiar a proteção de organizações e hackers envolvidos em Pesquisa de Segurança de Boa-Fé. "Pesquisa de Segurança de Boa-Fé" é o acesso a um computador exclusivamente para fins de testes, investigação e/ou correção de boa-fé de uma falha ou vulnerabilidade de segurança, onde tal atividade é realizada de forma a evitar qualquer dano a indivíduos ou ao público, e onde as informações derivadas da atividade são usadas principalmente para promover a segurança da classe de dispositivos, máquinas ou serviços online aos quais o computador acessado pertence ou daqueles que utilizam tais dispositivos, máquinas ou serviços online.
Consideramos a Pesquisa de Segurança de Boa-Fé uma atividade autorizada e protegida contra ações judiciais adversas da nossa parte. Renunciamos a qualquer restrição relevante em nossos Termos de Uso que entre em conflito com os padrões para Pesquisa de Segurança de Boa-Fé aqui descritos.
Isso significa que, para a Good Faith Security Research conduzida com um esforço de boa-fé para cumprir com a política do nosso programa e enquanto este programa estiver ativo, nós:
- Não moverá nenhuma ação legal contra você nem o denunciará, inclusive por contornar as medidas tecnológicas que usamos para proteger os aplicativos em escopo; e,
- Tomaremos medidas para informar que você conduziu uma Pesquisa de Segurança de Boa-Fé, caso outra pessoa mova uma ação legal contra você.
Você deve entrar em contato conosco pelo e-mail [email protected] para obter esclarecimentos antes de se envolver em conduta que você acha que pode ser inconsistente com a Good Faith Security Research ou não abordada por nossa política.
Tenha em mente que não podemos autorizar pesquisas de segurança em infraestrutura de terceiros e terceiros não estão vinculados a esta declaração de porto seguro.
Liderança no setor



















