Política de Divulgação Coordenada de Vulnerabilidades – Shoreline
A Shoreline, empresa dedicada a soluções inovadoras em segurança, redes, comunicação e energia, compromete-se com a segurança de seus clientes. Para isso, formalizamos esta política de recebimento de relatórios de vulnerabilidades em nossos produtos, promovendo uma parceria transparente com a comunidade de segurança para garantir a proteção de nossos clientes.
A Política de Divulgação Coordenada de Vulnerabilidades estabelece diretrizes para que pesquisadores de segurança identifiquem e relatem, de forma responsável, vulnerabilidades potenciais nos produtos de fabricação Shoreline.
ESCOPO INICIAL
O processo de Divulgação Coordenada de Vulnerabilidades da Shoreline abrange os seguintes produtos CPE’s (Equipamento Local do Cliente):
-
- Cable Modem;
-
- Modem xDSL;
-
- ONU, ONT;
-
- Roteador ou modem para acesso fixo sem fio (FWA – Fixed Wireless Access);
-
- Roteador ou modem para acesso fixo à banda larga via satélite;
-
- Roteador ou ponto de acesso sem fio.
Pesquisadores que apresentarem relatórios de vulnerabilidade dentro dos critérios de interesse da Shoreline serão reconhecidos com crédito pela descoberta em nosso site, após validação e aceitação pela equipe de segurança do produto.
REGRAS, CRITÉRIOS DE ACEITE E PRIORIZAÇÃO
As vulnerabilidades relatadas pelos pesquisadores passarão por análise e triagem da Shoreline, com critérios e priorização definidos conforme os pontos abaixo:
-
- O relatório deve ser bem redigido em português ou inglês;
-
- Deve conter provas de conceito para facilitar a validação e a triagem, mencionando o bug, impacto e possível solução;
-
- A vulnerabilidade relatada deve estar no escopo dos produtos listados, sob pena de prioridade baixa na análise;
-
- Relatórios que contêm apenas telas de erro ou saídas de ferramentas automatizadas terão prioridade baixa;
-
- Devem ser mencionados planos e intenções para divulgação pública;
-
- O reporte de vulnerabilidade não pode ser realizado por colaboradores atuais ou ex-colaboradores do Grupo Shoreline com menos de 12 meses de desligamento;
-
- O pesquisador deve utilizar cautela para evitar impactos nos usuários e comprometer-se a não utilizar indevidamente dados pessoais ou sensíveis identificados nos produtos.
O QUE VOCÊ PODE ESPERAR DE NÓS
-
- Resposta ao seu e-mail dentro de 5 dias úteis;
-
- Prazo estimado de correção após a triagem e transparência quanto a desafios de correção do produto;
-
- Diálogo aberto para discutir questões relacionadas à vulnerabilidade;
-
- Notificação quando a vulnerabilidade for confirmada por nossa equipe de segurança;
-
- Créditos pela descoberta após validação e correção.
POSTURA LEGAL
A Shoreline não pretende instaurar ações legais contra indivíduos que enviarem relatórios de vulnerabilidade por meio de nosso CSIRT, desde que cumpram os requisitos e critérios estabelecidos nesta política, e observem as seguintes condições:
-
- Realizem testes sem prejudicar a Shoreline e/ou seus clientes;
-
- Respeitem o escopo da Política de Divulgação de Vulnerabilidades;
-
- Obtêm permissão do cliente antes de realizar testes de vulnerabilidade em seus produtos e sistemas;
-
- Estão de acordo com as leis brasileiras e do país em que realizam a pesquisa;
-
- Abstêm-se de divulgar detalhes da vulnerabilidade ao público antes de 90 dias ou até que um prazo acordado expire.
A participação no processo de Divulgação Coordenada de Vulnerabilidades da Shoreline não confere nenhum direito de propriedade intelectual sobre os produtos ou serviços da Shoreline. Todos os direitos sobre a propriedade intelectual pertencem exclusivamente à Shoreline ou seus parceiros e não podem ser copiados, reproduzidos, transmitidos, exibidos, vendidos, licenciados ou explorados para qualquer outra finalidade.
COMO RELATAR UMA VULNERABILIDADE
Para comunicar uma vulnerabilidade em um dos produtos da Shoreline, preencha o formulário de vulnerabilidades na página da Equipe de Resposta e Tratamento de Incidentes de Segurança da Informação da Shoreline (CSIRT) em https://shorelinetelecom.com.br/csirt-shoreline.