Para o conteúdo principal

Divulgação coordenada de vulnerabilidades (CVD)

Consideramos a segurança dos nossos sistemas e dados uma prioridade máxima. Contudo, apesar de todos os nossos esforços, continuarão a existir vulnerabilidades. Pedimos a sua ajuda para proteger melhor os nossos sistemas e dados. Se descobrir uma vulnerabilidade, queremos que nos informe da mesma em primeira mão. Desta forma, podemos tomar medidas para a resolver o mais rapidamente possível. Este tipo de comunicação é conhecida como uma Divulgação coordenada de vulnerabilidades ou CVD.

O que deve fazer

  • Comunique-nos a vulnerabilidade em causa submetendo as suas conclusões no Zerocopter aqui. Nesta página encontrará também informações sobre as áreas e vulnerabilidades que consideramos dentro, e fora, do respetivo âmbito.
  • A comunicação deverá ser efetuada de forma a salvaguardar a confidencialidade da mesma, para que mais ninguém tenha acesso à informação.
  • Comunique a vulnerabilidade o mais rapidamente possível, para minimizar o risco de os intervenientes da ameaça tirarem partido da mesma.
  • Forneça informação suficiente para reproduzir a vulnerabilidade, para que a possamos resolver. Normalmente, basta que nos faculte o endereço IP ou o URL do sistema afetado e uma descrição da vulnerabilidade, mas as vulnerabilidades complexas requerem uma explicação mais aprofundada.

O que não deve fazer:

  • Tirar partido da vulnerabilidade que descobriu, por exemplo, ao descarregar mais dados do que é necessário para demonstrar a vulnerabilidade ou ao apagar/modificar os nossos dados.
  • Revelar a vulnerabilidade aos outros até que tenha sido resolvida.
  • Utilizar a vulnerabilidade para ataques à segurança física, engenharia social, negação distribuída de serviço, spam ou aplicações (web) de outras partes.
  • Obter repetidamente acesso ao sistema ou partilhar o acesso com outros.
  • Realizar rastreios automáticos nas nossas infraestruturas e sistemas para identificar vulnerabilidades.
  • Utilizar técnicas de «ataque por meio de força bruta» para obter acesso aos nossos sistemas ou dados, uma vez que isto não se qualifica como vulnerabilidade.

As nossas promessas:

Oferecemos uma recompensa por cada revelação de vulnerabilidade que ainda não seja do nosso conhecimento, como sinal da nossa gratidão pela sua assistência. O montante da recompensa será determinado com base na gravidade da vulnerabilidade. Os pagamentos são efetuados depois de uma comunicação obter o estatuto de "resolvida".

  • Mantê-lo-emos/Mantê-la-emos informado/a sobre o progresso para a resolução da vulnerabilidade através do Zerocopter.
  • Tratamos a sua comunicação de forma confidencial e não partilharemos os seus dados pessoais com terceiros sem o seu consentimento, a menos que sejamos obrigados a fazê-lo por lei ou por uma decisão judicial.
  • Não tomaremos medidas legais, se apresentar uma vulnerabilidade em conformidade com o procedimento.