Introdução
A Ivan Carlos Consultoria agradece o feedback de pesquisadores de segurança e do público em geral para ajudar a melhorar nossa segurança, protegendo as informações de todos. Se você acredita ter descoberto uma vulnerabilidade, problema de privacidade, exposição de dados ou outros problemas de segurança em qualquer um de nossos ativos, queremos ouvi-lo.
Esta política descreve as diretrizes para a condução de atividades de descoberta de vulnerabilidades, o escopo permitido, como nos enviar relatórios e o que você pode esperar de nós durante esse processo.
Autorização e Safe Harbor (Porto Seguro)
Se você fizer um esforço de boa-fé para cumprir esta política durante sua pesquisa de segurança, consideraremos que sua pesquisa, conduzida sob esta política, é:
Autorizada em relação a quaisquer leis aplicáveis contra invasões cibernéticas (anti-hacking), e não iniciaremos ou apoiaremos ações legais contra você por violações acidentais e de boa-fé desta política;
Autorizada em relação a quaisquer leis relevantes de evasão de controles tecnológicos, e não apresentaremos queixas contra você por contornar controles de tecnologia;
Isenta de restrições em nossos Termos de Serviço (TOS) e/ou Política de Uso Aceitável (AUP) que interfeririam na condução de pesquisas de segurança, e renunciamos a essas restrições de forma limitada; e
Legal, útil para a segurança geral da Internet e conduzida de boa-fé.
Espera-se, como sempre, que você cumpra todas as leis aplicáveis. Se uma ação legal for iniciada por um terceiro contra você e você tiver agido em conformidade com esta política, tomaremos medidas para tornar público que suas ações foram conduzidas em conformidade com as nossas diretrizes e possuem nossa autorização.
Nota: O Safe Harbor se aplica apenas a reivindicações legais sob o controle da Ivan Carlos Consultoria. Esta política não vincula terceiros independentes. Se a qualquer momento você tiver dúvidas ou não tiver certeza se sua pesquisa está de acordo com esta política, envie-nos uma mensagem por meio de nossos Canais Oficiais antes de prosseguir.
Nossos Compromissos
Ao trabalhar conosco de acordo com esta política, você pode esperar que nós iremos:
Responder ao seu relatório prontamente, confirmando o recebimento;
Trabalhar de forma aberta com você para entender, validar e analisar a vulnerabilidade até a sua conclusão;
Esforçar-nos para mantê-lo informado sobre o progresso de uma vulnerabilidade à medida que ela for processada;
Trabalhar para corrigir as vulnerabilidades descobertas em tempo hábil, dentro de nossas restrições operacionais; e
Estender o Safe Harbor para sua pesquisa de vulnerabilidade relacionada a esta política.
Nossas Expectativas e Diretrizes
Ao participar do nosso programa de divulgação de vulnerabilidades de boa-fé, pedimos que você:
Siga as regras, incluindo esta política e quaisquer outros acordos relevantes. Em caso de inconsistência entre esta política e outros termos aplicáveis, os termos desta política prevalecerão;
Notifique-nos o mais rápido possível após descobrir um problema de segurança real ou potencial;
Faça todos os esforços para evitar violações de privacidade de terceiros, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados;
Limitação de Acesso e Exploração: Use exploits apenas na medida do necessário para confirmar a presença de uma vulnerabilidade e demonstrar uma Prova de Conceito (PoC). Não use uma exploração para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando ou usar a exploração para migrar (pivotar) para outros sistemas;
Dados Sensíveis: Se a vulnerabilidade fornecer acesso não intencional a dados, limite o acesso ao mínimo necessário. Se você encontrar dados de usuários, como Informações de Identificação Pessoal (PII), Informações de Saúde (PHI), dados de cartão de crédito, informações financeiras, propriedades intelectuais ou segredos comerciais, interrompa o teste imediatamente, notifique-nos e não divulgue esses dados a mais ninguém;
Interaja apenas com contas de teste que você possui ou com permissão explícita do titular da conta;
Forneça-nos um período de tempo razoável (pelo menos 90 dias a partir do relatório inicial) para resolver o problema antes de divulgá-lo publicamente;
Use apenas os Canais Oficiais para discutir informações de vulnerabilidade conosco;
Não envie um grande volume de relatórios de baixa qualidade; e
Não se envolva em extorsão de qualquer natureza.
Escopo
Sistemas em Escopo: Esta política se aplica a quaisquer ativos digitais pertencentes, operados ou mantidos pela Ivan Carlos Consultoria.
Fora de Escopo: Ativos ou outros equipamentos não pertencentes às partes participantes desta política estão fora do escopo e os testes não são autorizados. Vulnerabilidades descobertas em sistemas fora do escopo, exceto quando relacionados à configurações realizadas por Ivan Carlos Consultoria, devem ser relatadas ao fornecedor apropriado ou autoridade aplicável. Isso inclui infraestrutura de terceiros, não pertencentes à Ivan Carlos Consultoria ou a seus clientes, incluindo, mas não se limitando a:
Serviços de colaboração como Microsoft 365 e Google Workspace;
Serviços de segurança como Acronis e ESET;
Serviços de suporte como TeamViewer e Zendesk.
Métodos de Teste Não Autorizados
Os seguintes métodos de teste não são autorizados em nenhuma circunstância:
Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados;
Testes físicos (por exemplo, acesso ao escritório, portas abertas, uso não autorizado);
Engenharia social (por exemplo, phishing, vishing);
Qualquer outro teste de vulnerabilidade não técnico.
Recompensas (Bug Bounty)
A Ivan Carlos Consultoria não possui um programa de recompensas em dinheiro por bugs (Bug Bounty), cabendo aos seus clientes a decisão de recompensar pesquisadores por eventuais vulnerabilidades encontradas em seus ambientes específicos.
Relatando uma Vulnerabilidade (Canais Oficiais)
As informações enviadas sob esta política serão usadas apenas para fins defensivos (mitigar ou remediar vulnerabilidades).
Aceitamos relatórios de vulnerabilidade através dos seguintes canais, podendo ser enviados anonimamente:
E-mail:
security@icc.ggFormulário Oficial: Portal de Suporte
Se suas descobertas incluírem vulnerabilidades recém-descobertas que afetam todos os usuários de um produto ou serviço de terceiros (e não apenas a Ivan Carlos Consultoria), poderemos compartilhar seu relatório com agências de segurança cibernética e de infraestrutura, onde será tratado de acordo com o processo coordenado de divulgação de vulnerabilidades. Não compartilharemos seu nome ou informações de contato com terceiros sem sua permissão expressa.
Aviso: Não oferecemos suporte a e-mails criptografados por PGP. Para informações particularmente confidenciais, recomendamos o envio por meio de nosso formulário seguro.
O que gostaríamos de ver no seu relatório
Quanto mais detalhes você fornecer, mais fácil será para nós triarmos e corrigirmos o problema. Recomendamos que seus relatórios:
Descrevam o local exato em que a vulnerabilidade foi descoberta e o possível impacto da exploração;
Ofereçam uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (scripts de prova de conceito - PoC ou capturas de tela são extremamente úteis);
Sejam redigidos em português, inglês ou espanhol.
Dúvidas
Perguntas gerais sobre esta política, dúvidas se a sua pesquisa está de acordo com as diretrizes, ou sugestões de melhoria podem ser enviadas para security@icc.gg.