CyberS3c, Cybersecurity Artisans
Análise de segurança em ecrã

Segurança

Política de Divulgação de Vulnerabilidades

Levamos a segurança a sério e valorizamos a comunidade de investigação. Se encontrou uma falha nos nossos sistemas, queremos ouvi-lo.

A divulgação responsável torna todos mais seguros.

Esta política explica como reportar vulnerabilidades à CyberS3c, o que pode esperar de nós e as regras que pedimos para proteger utilizadores, clientes e investigadores. O tratamento dos reportes é feito pela nossa Equipa de Resposta a Incidentes (CSIRT).

Como reportar

Três passos simples

Reporte

Envie os detalhes para security@cybersec.pt, o nosso canal dedicado de segurança.

Cifre

Para informação sensível, use a chave PGP do CSIRT antes de a enviar.

Detalhe

Inclua passos de reprodução, impacto potencial e sistemas afetados.

No âmbito

  • O site cybers3c.pt e subdomínios sob nossa gestão
  • Serviços e infraestrutura operados pela CyberS3c
  • Os nossos produtos (mediante autorização prévia)

Fora do âmbito

  • Sistemas de clientes ou de terceiros
  • Serviços alojados por fornecedores externos
  • Ataques de negação de serviço e spam
  • Engenharia social e acesso físico

O nosso compromisso

O que pode esperar de nós

Resposta atempada

Confirmamos a receção e mantemos o contacto durante a análise e correção.

Boa-fé protegida

Não iniciamos ações legais contra quem investiga de boa-fé e respeita esta política.

Crédito ao investigador

Reconhecemos publicamente quem reporta, se assim o desejar.

O que pedimos

Regras de investigação de boa-fé

Investigue apenas os sistemas no âmbito abaixo
Não aceda, altere nem exfiltre dados de terceiros
Não degrade serviços (sem DoS nem testes de carga)
Não faça engenharia social a colaboradores ou clientes
Dê-nos tempo razoável para corrigir antes de divulgar
Trate a informação segundo o Traffic Light Protocol (TLP)