Shoreline Telecom

Política de Divulgação Coordenada de Vulnerabilidades – Shoreline

A Shoreline, empresa dedicada a soluções inovadoras em segurança, redes, comunicação e energia, compromete-se com a segurança de seus clientes. Para isso, formalizamos esta política de recebimento de relatórios de vulnerabilidades em nossos produtos, promovendo uma parceria transparente com a comunidade de segurança para garantir a proteção de nossos clientes.

A Política de Divulgação Coordenada de Vulnerabilidades estabelece diretrizes para que pesquisadores de segurança identifiquem e relatem, de forma responsável, vulnerabilidades potenciais nos produtos de fabricação Shoreline.

ESCOPO INICIAL

O processo de Divulgação Coordenada de Vulnerabilidades da Shoreline abrange os seguintes produtos CPE’s (Equipamento Local do Cliente):

    • Cable Modem;

    • Modem xDSL;

    • ONU, ONT;

    • Roteador ou modem para acesso fixo sem fio (FWA – Fixed Wireless Access);

    • Roteador ou modem para acesso fixo à banda larga via satélite;

    • Roteador ou ponto de acesso sem fio.

Pesquisadores que apresentarem relatórios de vulnerabilidade dentro dos critérios de interesse da Shoreline serão reconhecidos com crédito pela descoberta em nosso site, após validação e aceitação pela equipe de segurança do produto.

REGRAS, CRITÉRIOS DE ACEITE E PRIORIZAÇÃO

As vulnerabilidades relatadas pelos pesquisadores passarão por análise e triagem da Shoreline, com critérios e priorização definidos conforme os pontos abaixo:

    • O relatório deve ser bem redigido em português ou inglês;

    • Deve conter provas de conceito para facilitar a validação e a triagem, mencionando o bug, impacto e possível solução;

    • A vulnerabilidade relatada deve estar no escopo dos produtos listados, sob pena de prioridade baixa na análise;

    • Relatórios que contêm apenas telas de erro ou saídas de ferramentas automatizadas terão prioridade baixa;

    • Devem ser mencionados planos e intenções para divulgação pública;

    • O reporte de vulnerabilidade não pode ser realizado por colaboradores atuais ou ex-colaboradores do Grupo Shoreline com menos de 12 meses de desligamento;

    • O pesquisador deve utilizar cautela para evitar impactos nos usuários e comprometer-se a não utilizar indevidamente dados pessoais ou sensíveis identificados nos produtos.

O QUE VOCÊ PODE ESPERAR DE NÓS

    • Resposta ao seu e-mail dentro de 5 dias úteis;

    • Prazo estimado de correção após a triagem e transparência quanto a desafios de correção do produto;

    • Diálogo aberto para discutir questões relacionadas à vulnerabilidade;

    • Notificação quando a vulnerabilidade for confirmada por nossa equipe de segurança;

    • Créditos pela descoberta após validação e correção.

POSTURA LEGAL

A Shoreline não pretende instaurar ações legais contra indivíduos que enviarem relatórios de vulnerabilidade por meio de nosso CSIRT, desde que cumpram os requisitos e critérios estabelecidos nesta política, e observem as seguintes condições:

    • Realizem testes sem prejudicar a Shoreline e/ou seus clientes;

    • Respeitem o escopo da Política de Divulgação de Vulnerabilidades;

    • Obtêm permissão do cliente antes de realizar testes de vulnerabilidade em seus produtos e sistemas;

    • Estão de acordo com as leis brasileiras e do país em que realizam a pesquisa;

    • Abstêm-se de divulgar detalhes da vulnerabilidade ao público antes de 90 dias ou até que um prazo acordado expire.

A participação no processo de Divulgação Coordenada de Vulnerabilidades da Shoreline não confere nenhum direito de propriedade intelectual sobre os produtos ou serviços da Shoreline. Todos os direitos sobre a propriedade intelectual pertencem exclusivamente à Shoreline ou seus parceiros e não podem ser copiados, reproduzidos, transmitidos, exibidos, vendidos, licenciados ou explorados para qualquer outra finalidade.


COMO SERÁ PUBLICADO

Identificador Código único para cada vulnerabilidade, usando o formato VULN-AAAA-XXXX (onde AAAA é o ano e XXXX é o número de identificação)
Título Breve descrição do problema
Visão Geral Resumo de alto nível que ajuda o usuário a entender a vulnerabilidade de forma rápida
Descrição Explicação detalhada sobre a vulnerabilidade, sem informações específicas que poderiam permitir a exploração
Produtos Afetados Lista dos produtos e versões específicos que são impactados
Impacto Consequências da vulnerabilidade (exemplo: acesso não autorizado, negação de serviço)
Solução/Mitigação Instruções para os usuários corrigirem ou mitigarem o problema (ex: atualizar para uma nova versão ou configurar o firewall)
Créditos Agradecimentos a quem notificou ou ajudou a resolver a vulnerabilidade

Histórico de Revisão Registro da data de publicação e revisões

COMO RELATAR UMA VULNERABILIDADE

Link formulário: FORMULÁRIO PARA NOTIFICAÇÃO DE VULNERABILIDADE

• Link do canal de suporte: CANAL DE SUPORTE TÉCNICO

• Segurança: Este formulário usa HTTPS para garantir a segurança da comunicação.

• Alternativamente, os relatórios podem ser enviados para nosso e-mail seguro, utilizando a chave pública PGP disponível aqui.

INFORMAÇÕES NECESSÁRIAS PARA A NOTIFICAÇÃO DE VULNERABILIDADE:

• Nome/Razão Social: Insira o nome completo ou a razão social da organização (obrigatório).
• CPF/CNPJ: Informe o CPF ou CNPJ do responsável pela notificação (obrigatório).
• Telefone: Forneça um número de telefone para contato (obrigatório).
• E-mail: Insira um endereço de e-mail válido para receber comunicações sobre a notificação (obrigatório).
• Modelo do Produto: Selecione o modelo do produto onde a vulnerabilidade foi identificada (obrigatório).
• Versão do Produto: Indique a versão exata do produto afetado (obrigatório).
• Descrição da Vulnerabilidade: Forneça uma descrição detalhada da vulnerabilidade identificada, incluindo informações sobre como ela foi encontrada e os possíveis impactos (obrigatório).

Essas informações são essenciais para garantir que possamos entender, investigar e resolver a vulnerabilidade da forma mais eficaz possível. Agradecemos a colaboração e o comprometimento com a segurança dos nossos produtos.