Política de Divulgação Coordenada de Vulnerabilidades Optictimes do Brasil
A Optictimes do Brasil, uma empresa que oferece soluções inovadoras em segurança, redes, comunicação e energia, está empenhada em garantir a segurança de nossos clientes. Nesse sentido, a Optictimes do Brasil está formalizando a presente política para receber relatórios de vulnerabilidade em seus produtos, promovendo uma parceria aberta com a comunidade de segurança com o objetivo de continuar garantindo a segurança de todos os nossos clientes.
A Política de Divulgação Coordenada de Vulnerabilidades fornece diretrizes para que pesquisadores de segurança descubram e relatem, de forma responsável, as vulnerabilidades em potencial identificadas nos produtos de fabricação Optictimes do Brasil.
ESCOPO INICIAL
O processo de Divulgação Coordenada de Vulnerabilidades da Optictimes do Brasil abrange os produtos CPE’s (Equipamento local do cliente):
- Cable modem;
- Modem xDSL;
- ONU, ONT;
- Roteador ou modem destinados ao acesso fixo sem fio (FWA – Fixed Wireless Access);
- Roteador ou modem destinados ao acesso fixo à banda larga via satélite; e
- Roteador ou ponto de acesso sem fio.
Os pesquisadores que nos enviarem um relatório de vulnerabilidade que estiverem dentro dos critérios e forem de interesse da Optictimes do Brasil, receberão crédito sobre a autoria do descobrimento da vulnerabilidade em nosso site uma vez que o envio for aceito e validado por nossa equipe de segurança do produto.
REGRAS, CRITÉRIOS DE ACEITE E PRIORIZAÇÃO
A vulnerabilidade relatada pelo pesquisador estará sujeita à análise da Optictimes do Brasil, onde serão definidos critérios e priorização das submissões, conforme abaixo:
- O relatório deve ser bem redigido em português ou inglês;
- O relatório deve conter provas de conceito para facilitar a validação e a triagem, bem como deve ser mencionado o bug, o impacto e alguma potencial remediação;
- A vulnerabilidade relatada deve estar dentro do escopo dos produtos acima mencionados, caso contrário, terão prioridade baixa na análise da Optictimes do Brasil;
- Relatórios apenas com telas de erro ou saída de ferramentas automatizadas terão prioridade baixa;
- Deve ser mencionado os planos e intenções para a divulgação pública;
- O reporte de vulnerabilidade não pode ser realizado por um colaborador do Grupo Optictimes do Brasil, ou por quem tenha trabalhado na empresa nos últimos 12 (doze) meses;
- O pesquisador deve utilizar com cautela serviços que possam impactar os usuários, bem como, se compromete a não utilizar indevidamente nenhum dado pessoal ou sensível identificado nos produtos;
O QUE VOCÊ PODE ESPERAR DE NÓS:
- Uma resposta oportuna ao seu e-mail (dentro de 5 dias úteis);
- Após a triagem, lhe enviaremos um prazo de correção esperado e seremos transparentes em casos que o produto enfrente desafios para ser corrigido;
- Diálogo aberto para discutir questões relacionadas à vulnerabilidade;
- Notificação de quando a vulnerabilidade foi confirmada por nossa equipe de segurança;
- Créditos sobre a descoberta da vulnerabilidade após sua validação e correção.
POSTURA LEGAL
A Optictimes do Brasil não tem intenção de se envolver em discussões legais contra indivíduos que enviarem relatórios de vulnerabilidade através do nosso CSIRT, desde que os relatórios cumpram os requisitos e critérios estabelecidos nesta política, e englobem os itens abaixo:
- Envolvam-se em testes de sistemas ou produtos sem prejudicar a Optictimes do Brasil e/ou seus clientes;
- Participem de testes de vulnerabilidade dentro do escopo de nossa Política de Divulgação de Vulnerabilidades;
- Recebam permissão e consentimento do cliente antes de se envolver em testes de vulnerabilidade contra seus produtos, sistemas, etc;
- Estejam de acordo com as leis brasileiras e do país onde o pesquisador estiver realizando a pesquisa; sua geolocalização;
- Abstenham-se de divulgar detalhes da vulnerabilidade ao público antes de 90 dias corridos ou que um prazo mutuamente acordado expire.
A participação no processo de Divulgação Coordenada de Vulnerabilidades Optictimes do Brasil não concede nenhum direito de propriedade intelectual ou direito de propriedade sobre os produtos ou serviços da Optictimes do Brasil aos pesquisadores participantes ou a qualquer outro terceiro.
Os direitos sobre a propriedade intelectual são de titularidade exclusiva da Optictimes do Brasil ou de seus parceiros, e por conta disso, não podem ser copiados, reproduzidos, transmitidos, exibidos, vendidos, licenciados ou ainda, explorados para qualquer outra finalidade.
COMO RELATAR UMA VULNERABILIDADE
Para comunicar uma vulnerabilidade em um dos produtos Optictimes do Brasil, por favor preencha o formulário de vulnerabilidades na página da Equipe de Resposta e Tratamento de Incidentes de Segurança da Informação da Optictimes do Brasil (CSIRT – https://www.optictimesdobrasil.com/pt-br/CSIRT-OptictimesdoBrasil).
Ao relatar uma vulnerabilidade, o pesquisador confirma que compreende e aceita a política e os termos e condições.