RESPONSIBLE DISCLOSURE POLICY
Introdução
A Transatel compromete-se a garantir a disponibilidade, integridade, confidencialidade e rastreabilidade das informações que lhe são confiadas.
No entanto, caso seja descoberta uma falha de segurança, vulnerabilidade ou fuga de dados relacionada com a Transatel, esta página descreve a nossa política de divulgação responsável para o tratamento de relatórios de vulnerabilidades e para a notificação de problemas.
Todas as comunicações são bem-vindas, quer provenham de investigadores de segurança, desenvolvedores, clientes ou particulares, desde que sejam respeitadas as seguintes condições:
No entanto, caso seja descoberta uma falha de segurança, vulnerabilidade ou fuga de dados relacionada com a Transatel, esta página descreve a nossa política de divulgação responsável para o tratamento de relatórios de vulnerabilidades e para a notificação de problemas.
Todas as comunicações são bem-vindas, quer provenham de investigadores de segurança, desenvolvedores, clientes ou particulares, desde que sejam respeitadas as seguintes condições:
Condições
- Manter confidenciais as informações sobre as vulnerabilidades descobertas.
- Não utilizar ferramentas automatizadas ou métodos de ataque como engenharia social (phishing, fraude, etc.), ataques de negação de serviço (DoS, DDoS), spam, burlas ou ações que comprometam a segurança física.
- Não explorar as vulnerabilidades além do estritamente necessário, por exemplo, descarregando mais dados do que o indispensável ou comprometendo a integridade dos dados de terceiros.
- Fornecer um meio de contacto caso deseje ser informado sobre o resultado da sua comunicação.
- Enviar os resultados por e-mail para security-disclosure[at]transatel.com (Este endereço destina-se exclusivamente à comunicação de vulnerabilidades; outras solicitações não serão processadas).
- Ou, de acordo com o artigo 47 da Lei francesa para uma República Digital, contactar o CERT-FR como autoridade competente: cert-fr[at]ssi.gouv.fr
- Não violar qualquer lei ou regulamento além do que esteja explicitamente abrangido por esta política.
- Aceitar a nossa política de privacidade sem reservas, permitindo que o seu relatório seja tratado.
No seu relatório
- Anonimize os dados pessoais.
- Inclua todos os detalhes necessários para reproduzir ou verificar o problema de segurança (IP, URL, descrição da vulnerabilidade, referência OWASP, CVE ou ATT&CK), capturas de ecrã e a lista de produtos e serviços afetados.
- Se aplicável, especifique os detalhes de quaisquer contas de teste criadas.
Tratamento e confidencialidade
Após receção, o seu relatório será analisado pela equipa de segurança com a maior brevidade possível.
Garantimos que a sua comunicação será tratada de forma confidencial, em conformidade com os requisitos legais e regulamentares aplicáveis.
A participação no processo de comunicação não confere quaisquer direitos de propriedade intelectual.
Se as vulnerabilidades forem descobertas e comunicadas em conformidade com a nossa Responsible Disclosure Policy, não serão tomadas ações legais contra os autores da comunicação. No entanto, em caso de incumprimento destas condições, reservamo-nos todos os direitos legais.
Por fim, informamos que atualmente não oferecemos nem participamos em qualquer programa de Bug Bounty.
Garantimos que a sua comunicação será tratada de forma confidencial, em conformidade com os requisitos legais e regulamentares aplicáveis.
A participação no processo de comunicação não confere quaisquer direitos de propriedade intelectual.
Se as vulnerabilidades forem descobertas e comunicadas em conformidade com a nossa Responsible Disclosure Policy, não serão tomadas ações legais contra os autores da comunicação. No entanto, em caso de incumprimento destas condições, reservamo-nos todos os direitos legais.
Por fim, informamos que atualmente não oferecemos nem participamos em qualquer programa de Bug Bounty.