Ivan Carlos Consultoria está empenhada em garantir a segurança do público, protegendo suas informações. Esta política destina-se a fornecer aos pesquisadores de segurança diretrizes claras para conduzir atividades de descoberta de vulnerabilidades e transmitir nossas preferências sobre como enviar vulnerabilidades descobertas para nós.
Esta política descreve quais sistemas e tipos de pesquisa são cobertos por esta política, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos pesquisadores de segurança que esperem antes de divulgar vulnerabilidades publicamente.
Incentivamos você a entrar em contato conosco para relatar possíveis vulnerabilidades em nossos sistemas através do formulário a seguir: https://suporte.ivancarlos.com.br/hc/pt-br/requests/new?ticket_form_id=14037905372301
Autorização
Se você fizer um esforço de boa-fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa autorizada, trabalharemos com você para entender e resolver o problema rapidamente e Ivan Carlos Consultoria não recomendará ou tomará medidas legais relacionadas a sua pesquisa. Se uma ação legal for iniciada por um terceiro contra você por atividades que foram conduzidas de acordo com esta política, daremos a conhecer esta autorização.
Diretrizes
De acordo com esta política, "pesquisa" significa atividades nas quais você:
- Notifique-nos o mais rápido possível após descobrir um problema de segurança real ou potencial.
- Faça todos os esforços para evitar violações de privacidade, degradação da experiência do usuário, interrupção dos sistemas de produção e destruição ou manipulação de dados.
- Use exploits apenas na medida do necessário para confirmar a presença de uma vulnerabilidade. Não use uma exploração para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando ou usar a exploração para migrar para outros sistemas.
- Forneça-nos um período razoável para resolver o problema antes de divulgá-lo publicamente.
- Não envie um grande volume de relatórios de baixa qualidade.
Depois de estabelecer que existe uma vulnerabilidade ou encontrar quaisquer dados confidenciais (incluindo informações de identificação pessoal, informações financeiras ou informações proprietárias ou segredos comerciais de qualquer parte), você deve interromper seu teste, notificar-nos imediatamente e não divulgar esses dados para qualquer outra pessoa.
Métodos de teste
Os seguintes métodos de teste não são autorizados:
- Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados.
- Testes físicos (por exemplo, acesso ao escritório, portas abertas, uso não autorizado), engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico.
Escopo
Não são permitidas realizações de testes em infraestrutura de terceiros, não pertencentes à Ivan Carlos Consultoria ou seus clientes, incluindo, mas não se limitando a:
- Serviços de colaboração como Microsoft 365 e Google Workspace
- Serviços de segurança como Acronis e ESET
- Serviços de suporte como TeamViewer e Zendesk
Recompensa
Ivan Carlos Consultoria não possui um programa de recompensas por bugs, cabendo a seus clientes a decisão de recompensar pesquisadores por eventuais vulnerabilidades encontradas.
Relatando uma vulnerabilidade
As informações enviadas sob esta política serão usadas apenas para fins defensivos - para mitigar ou remediar vulnerabilidades. Se suas descobertas incluírem vulnerabilidades recém-descobertas que afetam todos os usuários de um produto ou serviço e não apenas Ivan Carlos Consultoria, podemos compartilhar seu relatório com agências de segurança cibernética e de infraestrutura, onde será tratado de acordo com o processo coordenado de divulgação de vulnerabilidades. Não compartilharemos seu nome ou informações de contato sem permissão expressa.
Aceitamos relatórios de vulnerabilidade neste formulário ou via ivan+sec@ivancarlos.com.br. Os relatórios podem ser enviados anonimamente.
Não oferecemos suporte a e-mails criptografados por PGP. Para informações particularmente confidenciais, envie por meio de nosso formulário.
O que gostaríamos de ver de você
Para nos ajudar a triar e priorizar envios, recomendamos que seus relatórios:
- Descreva o local em que a vulnerabilidade foi descoberta e o possível impacto da exploração.
- Ofereça uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade (prova de scripts de conceito ou capturas de tela são úteis).
- Esteja em idioma português ou inglês, se possível.
O que você pode esperar de nós
Quando você escolhe compartilhar suas informações de contato conosco, nos comprometemos a tratar com você dá forma mais aberta e rápida possível, incluindo a confirmação do relatório recebido, análise da vulnerabilidade e tratativa adotada até sua conclusão. Manteremos um diálogo aberto para discutir quaisquer questões, dúvidas e esclarecimentos.
Questões
Perguntas sobre esta política podem ser enviadas para ivan+sec@ivancarlos.com.br. Também convidamos você a entrar em contato conosco com sugestões para melhorar esta política.