Ligar
No New
No New
Menu

Política de Divulgação Responsável

Securitas Direct

Introdução

A Verisure está empenhada em garantir a segurança dos nossos Produtos, Sistemas e de todos os dados de clientes, parceiros e funcionários. Valorizamos a colaboração com a nossa comunidade de utilizadores e investigadores que poderão contribuir para a identificação de Vulnerabilidades de Segurança nos nossos Produtos e Sistemas.

Esta Política descreve um processo para a divulgação responsável de Vulnerabilidades de Segurança, com o objetivo de facilitar uma colaboração eficaz e correção rápida de questões de segurança. Esta Política estabelece orientações para a comunicação e tratamento responsável de Vulnerabilidades de Segurança, de acordo com as regras de atuação a seguir indicadas, e aplica-se a quaisquer Vulnerabilidades de Segurança que esteja a ponderar comunicar à Verisure.

Recomendamos que leia esta Política na íntegra antes de comunicar uma possível Vulnerabilidade de Segurança.

Importa notar que a Verisure não oferece recompensas monetárias pela divulgação de Vulnerabilidades de Segurança.

Como comunicar uma Vulnerabilidade

A Verisure investiga todas as comunicações de Vulnerabilidades de Segurança que afetem Produtos e Serviços. Se tem motivos para acreditar que detetou uma Vulnerabilidade de Segurança num Produto ou Serviço da Verisure, comunique a vulnerabilidade através do formulário de submissão abaixo, fornecendo detalhes suficientes para podermos reproduzir e investigar as suas ações. Todos os campos obrigatórios devem ser preenchidos corretamente e é essencial que mantenha a confidencialidade ao comunicar uma Vulnerabilidade de Segurança no âmbito desta Política. Pedimos que não divulgue a sua investigação publicamente até que a Verisure tenha concluído a investigação, resolvido ou mitigado a Vulnerabilidade de Segurança e o tenha autorizado a fazê-lo.

Política de Divulgação Responsável do Grupo | Verisure

Passos seguintes

Uma vez enviada a comunicação, a Verisure notificará o respetivo autor da devida receção e dará início à sua triagem. A Verisure poderá contactar o autor da comunicação através do portal web anónimo a fim de recolher mais informação sobre a comunicação e para o manter atualizado sobre os progressos realizados até ao respetivo encerramento.

O nosso processo interno, no sentido de procurar encontrar soluções para a Vulnerabilidade de Segurança, começará pela análise da comunicação e determinação do seu impacto, gravidade e complexidade antes de implementar ações corretivas, conforme apropriado.

A Verisure reserva-se no direito de partilhar o conteúdo da comunicação de Vulnerabilidade de Segurança enviada e quaisquer conclusões subsequentes com as partes relevantes, mas compromete-se a não divulgar detalhes associados ao autor da comunicação.

Produtos ou Serviços de terceiros

Os produtos, sistemas e dados que não sejam propriedade da Verisure não estão abrangidos por esta Política. Os autores das comunicações que desejem investigar ou realizar testes nestes sistemas, devem seguir as políticas de divulgação responsável fornecidas pelas respetivas terceiras partes.

Regras de atuação

A Verisure reconhece os esforços e contributos da comunidade de investigação em matéria de segurança e exige o cumprimento das seguintes regras. A Verisure não procederá judicialmente contra pessoas que descubram e divulguem de boa-fé Vulnerabilidades de Segurança, em conformidade com esta Política.

O Autor da comunicação não deve:
- Violar quaisquer leis ou regulamentos aplicáveis.
- Introduzir uma nova Vulnerabilidade de Segurança ou tentar explorar uma existente.
- Envolver-se em práticas de engenharia social ou phishing a clientes ou funcionários.
- Exigir compensação financeira em troca da divulgação de uma Vulnerabilidade de Segurança.
- Aceder a sistemas ou dados além do necessário para identificar e comunicar uma Vulnerabilidade de Segurança.
- Adulterar dispositivos de sistemas de alarme ou sistemas de clientes existentes, nem que sejam os seus.
- Modificar, copiar, partilhar, corromper ou impactar de outra forma os dados processados ou armazenados nos Produtos ou sistemas da Verisure.
- Utilizar ferramentas de análise de alta intensidade, invasivas ou destrutivas para detetar Vulnerabilidades de Segurança ou realizar atividades disruptivas, incluindo, entre outras, ataques de força bruta, ataques de negação de serviço ou ataques físicos contra instalações ou centros de dados da Verisure.
- Interromper sinais de alarme, notificações ou manipular de alguma forma fisicamente o seu próprio sistema de alarme.
- Realizar testes ou investigação em serviços ou sistemas de terceiros não pertencentes à Verisure, tais como infraestruturas de fornecedores externos de serviços em nuvem.
- Aceder a quantidades desnecessárias, excessivas ou significativas de dados, além do necessário para a identificação e confirmação da Vulnerabilidade de Segurança.

O Autor da comunicação tem de:
- Aceder a dados e sistemas apenas na medida do necessário a dados e sistemas na medida do necessário para confirmar a existência de uma Vulnerabilidade de Segurança.
- Interromper as atividades de investigação e/ou teste após confirmar a existência de uma Vulnerabilidade de Segurança e comunicar as conclusões à Verisure sem demora.
- Eliminar de forma segura todos os dados obtidos durante a investigação logo que a vulnerabilidade de segurança tenha sido comunicada e tenha sido recebida da Verisure a confirmação de aceitação.
- Aguardar a aprovação por escrito da Verisure antes de divulgar publicamente pormenores sobre a Vulnerabilidade de Segurança. O conteúdo da divulgação pública também terá de ser aprovado pela Verisure.

O que não comunicar:
- Vulnerabilidades de Segurança em duplicado.
- Pormenores da Vulnerabilidades de Segurança não passíveis de serem exploradas.
- Falhas na interface de utilizador, falhas relacionadas com a experiência de utilizador ou erros ortográficos.
- Que os Produtos e Serviços não estão totalmente alinhados com as “boas-práticas”, tais como cabeçalhos de segurança em falta ou ataques de injeção de códigos maliciosos em aplicações web.

A Verisure deve:
- Confirmar a receção da comunicação da Vulnerabilidade de Segurança no prazo de 30 dias após a sua receção.
- Fornecer ao autor da comunicação atualizações quinzenais sobre o ponto de situação do pedido, a contar da data do aviso de receção acima referido até que se considere resolvida a questão que originou a comunicação da Vulnerabilidade de Segurança.
- Fornecer uma decisão por escrito sobre a possibilidade ou não de o autor da comunicação divulgar publicamente a Vulnerabilidade de Segurança. Mediante acordo prévio, a Verisure terá de analisar o conteúdo da divulgação pública antes da sua publicação.

Definições

Vulnerabilidade de Segurança
Vulnerabilidades de segurança específicas identificadas nos Produtos ou Serviços da Verisure que constituem uma lacuna detetada nos componentes de software ou hardware que, quando explorados, podem ter um impacto negativo na confidencialidade, integridade ou disponibilidade dos dados ou serviços da Verisure.

Produtos/Serviços da Verisure
Produtos ou sistemas desenvolvidos ou fabricados pela Verisure. Os produtos, sistemas e dados que não sejam propriedade da Verisure não estão abrangidos por esta Política.

Questões e apoio

A equipa de segurança da Verisure foi nomeada para tratar de Divulgações de Vulnerabilidades de Segurança, podendo ser contactada mediante o preenchimento e envio do formulário que se segue:

Política de Divulgação Responsável do Grupo | Verisure