Política de Divulgação Coordenada de Vulnerabilidades

Política de Divulgação Coordenada de Vulnerabilidades

Política de Divulgação Coordenada de Vulnerabilidades


A Tozed, empresa dedicada a soluções inovadoras em segurança, redes, comunicação e energia, compromete-se com a segurança de seus clientes. Para isso, formalizamos esta política de recebimento de relatórios de vulnerabilidades em nossos produtos, promovendo uma parceria transparente com a comunidade de segurança para garantir a proteção de nossos clientes.
A Política de Divulgação Coordenada de Vulnerabilidades estabelece diretrizes para que pesquisadores de segurança identifiquem e relatem, de forma responsável, vulnerabilidades potenciais nos produtos de fabricação Tozed.


ESCOPO INICIAL


O processo de Divulgação Coordenada de Vulnerabilidades da Tozed abrange os seguintes produtos CPE’s (Equipamento Local do Cliente):

  • > Cable Modem;
  • > Modem xDSL;
  • > ONU, ONT;
  • > Roteador ou modem para acesso fixo sem fio (FWA – Fixed Wireless Access);
  • > Roteador ou modem para acesso fixo à banda larga via satélite;
  • > Roteador ou ponto de acesso sem fio.

Pesquisadores que apresentarem relatórios de vulnerabilidade dentro dos critérios de interesse da Tozed serão reconhecidos com crédito pela descoberta em nosso site, após validação e aceitação pela equipe de segurança do produto.


REGRAS, CRITÉRIOS DE ACEITE E PRIORIZAÇÃO


As vulnerabilidades relatadas pelos pesquisadores passarão por análise e triagem da Tozed, com critérios e priorização definidos conforme os pontos abaixo:

  • > O relatório deve ser bem redigido em português ou inglês;
  • > Deve conter provas de conceito para facilitar a validação e a triagem, mencionando o bug, impacto e possível solução;
  • > A vulnerabilidade relatada deve estar no escopo dos produtos listados, sob pena de prioridade baixa na análise;
  • > Relatórios que contêm apenas telas de erro ou saídas de ferramentas automatizadas terão prioridade baixa;
  • > Devem ser mencionados planos e intenções para divulgação pública;
  • > O reporte de vulnerabilidade não pode ser realizado por colaboradores atuais ou ex-colaboradores do Grupo Tozed com menos de 12 meses de desligamento;
  • > O pesquisador deve utilizar cautela para evitar impactos nos usuários e comprometer-se a não utilizar indevidamente dados pessoais ou sensíveis identificados nos produtos.


O QUE VOCÊ PODE ESPERAR DE NÓS

 

  • > Resposta ao seu e-mail dentro de 5 dias úteis;
  • > Prazo estimado de correção após a triagem e transparência quanto a desafios de correção do produto;
  • > Diálogo aberto para discutir questões relacionadas à vulnerabilidade;
  • > Notificação quando a vulnerabilidade for confirmada por nossa equipe de segurança;
  • > Créditos pela descoberta após validação e correção.


POSTURA LEGAL


A Tozed não pretende instaurar ações legais contra indivíduos que enviarem relatórios de vulnerabilidade por meio de nosso CSIRT, desde que cumpram os requisitos e critérios estabelecidos nesta política, e observem as seguintes condições:

 

  • > Realizem testes sem prejudicar a Tozed e/ou seus clientes;
  • > Respeitem o escopo da Política de Divulgação de Vulnerabilidades;
  • > Obtêm permissão do cliente antes de realizar testes de vulnerabilidade em seus produtos e sistemas;
  • > Estão de acordo com as leis brasileiras e do país em que realizam a pesquisa;
  • > Abstêm-se de divulgar detalhes da vulnerabilidade ao público antes de 90 dias ou até que um prazo acordado expire.


A participação no processo de Divulgação Coordenada de Vulnerabilidades da Tozed não confere nenhum direito de propriedade intelectual sobre os produtos ou serviços da Tozed. Todos os direitos sobre a propriedade intelectual pertencem exclusivamente à Tozed ou seus parceiros e não podem ser copiados, reproduzidos, transmitidos, exibidos, vendidos, licenciados ou explorados para qualquer outra finalidade.


COMO RELATAR UMA VULNERABILIDADE


Para comunicar uma vulnerabilidade em um dos produtos da Tozed, preencha o formulário de vulnerabilidades na página da Equipe de Resposta e Tratamento de Incidentes de Segurança da Informação da Tozed (CSIRT) 


a) Informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas, com no mínimo as seguintes informações:
•   Identificador: código de identificação exclusivo para cada comunicado.
•   Título: referência genérica e sucinta referente ao(s) produto(s) afetado(s) e à vulnerabilidade corrigida.
•  Visão geral: breve resumo de alto nível sobre a vulnerabilidade para que os usuários possam entender os pontos principais e determinar rapidamente se o aviso é aplicável ao seu ambiente.
•  Descrição: descrição com mais informações que permitam aos usuários entenderem como são afetados e avaliarem sua exposição. Não deve fornecer detalhes a ponto de permitir a exploração da vulnerabilidade.
•   Produtos afetados: uma lista de produtos afetados conhecidos e suas versões.
•  Impacto: informações que descrevam o impacto da vulnerabilidade (por exemplo, negação de serviço, execução de códigos maliciosos) e a criticidade da vulnerabilidade por meio de sistema de pontuação de severidade reconhecido internacionalmente.
•   Solução (ou Mitigação): informações sobre a ação que os usuários devem realizar para corrigir ou remediar a vulnerabilidade e seu impacto.
•   Créditos: reconhecimento ao descobridor (notificador) por relatar a vulnerabilidade e/ou outros envolvidos no processo de solução.
•   Histórico de Revisão: versão e data da publicação original.  Pode conter um histórico de modificações se o boletim for atualizado posteriormente.


b) Manter histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança;


c) Permitir acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos; e


d) Fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

 

em https://global.gztozed.com/csirt-tozed/

Prev: none

BACK

Next: none

Any Question?

Any Question?

Contact Us