Política de Divulgação Responsável

Nearsoft

____________________________________________________________________________

 

Objetivo

Na Nearsoft, proteger a segurança e privacidade dos nossos sistemas, utilizadores e dados é uma prioridade máxima. Reconhecemos o papel valioso que investigadores de segurança independentes e hackers éticos desempenham na identificação de potenciais vulnerabilidades. Esta política define como reportar questões de segurança de forma responsável, o âmbito dos sistemas elegíveis e os nossos compromissos em resposta.

 

Âmbito

Esta política aplica-se a quaisquer vulnerabilidades de segurança descobertas em sistemas detidos, operados ou mantidos pela Nearsoft, incluindo, mas não limitado a:

  • Domínios, websites e serviços acessíveis publicamente
  • Aplicações web e móveis
  • APIs
  • Infraestrutura interna e ferramentas alojadas na cloud, quando acessíveis pela Internet
  • A política abrange vulnerabilidades que possam comprometer:
    • Confidencialidade dos dados de utilizadores ou do sistema
    • Integridade dos serviços ou do código
    • Disponibilidade dos serviços

Os seguintes pontos estão fora do âmbito e não qualificam para reconhecimento de divulgação responsável:

  • Engenharia social, phishing ou ataques físicos
  • Testes de spam ou DDoS
  • Vulnerabilidades que exijam dispositivos com root/jailbreak
  • Scans automáticos de vulnerabilidades sem consentimento por escrito prévio
  • Ataques que dependam de versões desatualizadas de browsers ou configurações de SO não utilizadas no nosso ambiente (ex: dispositivos com root/jailbreak)
  • Relatórios sem evidência adequada ou sem possibilidade de reprodução
  • Ataques a serviços ou fornecedores de terceiros
  • Relatórios de clickjacking, CSRF ou open redirect sem exploração comprovada
  • Relatórios envolvendo plataformas de terceiros fora do controlo da Nearsoft (ex: GitHub, Slack)

 

Reportar uma Vulnerabilidade

Se acredita ter descoberto uma vulnerabilidade de segurança, por favor reporte-a de forma confidencial e responsável por email para info@nearsoft.pt. O seu relatório deve incluir:

  • Uma descrição clara e concisa do problema
  • Passos detalhados para reproduzir a vulnerabilidade
  • O método utilizado e o momento aproximado da descoberta
  • Qualquer evidência de suporte (ex: capturas de ecrã, logs, etc.)
  • O impacto potencial, se conhecido
  • Os seus contactos (opcional), caso deseje receber atualizações

Para vulnerabilidades urgentes ou de alta gravidade, pode marcar o assunto do email como “URGENTE – Divulgação Responsável”.

Se necessário, poderemos escalar incidentes às autoridades supervisoras apropriadas ou partes afetadas, em conformidade com o nosso plano de resposta a incidentes e obrigações legais.

 

Diretrizes

Para garantir um processo colaborativo e ético, esperamos que todos os relatórios cumpram os seguintes princípios:

  • Agir de forma responsável e de boa fé, com o intuito de proteger utilizadores e sistemas.
  • Evitar causar danos, como perda de dados, interrupção de serviço ou acesso não autorizado a informação pessoal ou sensível.
  • Não explorar nenhuma vulnerabilidade identificada para além do necessário para provar a sua existência.
  • Respeitar a privacidade dos utilizadores, não tentando aceder, copiar, alterar ou eliminar dados que não sejam seus.
  • Evitar testes automáticos ou de alto volume, como DoS ou scans de força bruta, que possam afetar a disponibilidade.
  • Aguardar pelo menos 90 dias após o seu relatório antes de qualquer divulgação pública, a menos que a Nearsoft tenha resolvido o problema ou acordado o contrário. A divulgação antecipada sem esta coordenação pode comprometer a segurança dos utilizadores e violar esta política.
  • Garantir um comportamento cooperativo e responsável, em conformidade com a lei.

 

O Que Pode Esperar da Nearsoft

Quando reporta uma vulnerabilidade suspeita de boa fé, a Nearsoft irá:

  • Acusar receção do seu relatório no prazo de cinco (5) dias úteis.
  • Realizar uma avaliação inicial e responder com a nossa avaliação no prazo de dez (10) dias úteis.
  • Manter uma comunicação transparente durante todo o processo de investigação e resolução.
  • Resolver e remediar a vulnerabilidade num prazo razoável, de acordo com a natureza e gravidade do problema.
  • Não tomar medidas legais, desde que as suas ações tenham sido de boa fé e em conformidade com esta política.

 

A Nearsoft segue as melhores práticas de acordo com a ISO/IEC 27001:2022, incluindo resposta a incidentes documentada e avaliação de eventos de segurança. O seu relatório será processado em conformidade com os nossos controlos internos do Sistema de Gestão de Segurança da Informação (SGSI).