Ir para o conteúdo
Logo NIC.br Logo CGI.br

Política sobre Como Reportar Vulnerabilidade

O NIC.br entende que a segurança do site TOP - Teste os Padrões é muito importante. Apesar dos cuidados que tomamos para garantir a segurança, vulnerabilidades ainda podem ser encontradas.

Você encontrou alguma falha de segurança no site TOP? Pode ter sido acidentalmente, na operação normal deste site, ou talvez você tenha tentado ativamente encontrar uma vulnerabilidade. Em ambos os casos, por favor, nos informe, para que possamos agir o mais rápido possível.

A propósito, isso não é um convite para que você examine e teste extensivamente nosso site para verificar seus pontos fracos. Nós mesmos fazemos isso.

Gostaríamos de trabalhar com você para melhorar ainda mais a segurança do nosso site. Sempre levaremos suas observações a sério e investigaremos qualquer suspeita de vulnerabilidade.

Antes de relatar uma vulnerabilidade ao site TOP, veja a nossa política abaixo.

Pedimos que você:

  • nos envie seus resultados assim que possível utilizando o formulário de contato;
  • forneça informações suficientes para replicar o problema, para que possamos resolvê-lo assim que possível; o endereço IP ou o URL geralmente é suficiente, juntamente com uma descrição da vulnerabilidade. Para vulnerabilidades mais complexas, no entanto, poderemos precisar de mais informações;
  • não efetue testes que possam violar a segurança física, engenharia social, ou aplicações de terceiros;
  • não execute ataques de força bruta ou de negação de serviço;
  • não explore a vulnerabilidade para, por exemplo, alterar ou apagar dados, ou instalar malware;
  • não compartilhe o problema com outros até que o tenhamos consertado;
  • não copie dados dos nossos sistemas, exceto o que for absolutamente necessário para demonstrar o vazamento;
  • forneça seu e-mail para que possamos entrar em contato e trabalhar com você para resolver o problema.

Prometemos:

  • responder à sua notificação no prazo de cinco dias úteis, com uma avaliação de seu relatório e uma data esperada para uma solução;
  • tratar seu relatório confidencialmente: não compartilharemos suas informações pessoais sem seu consentimento, exceto em cumprimento a obrigação legal;
  • mantê-lo informado sobre nossos progressos na solução do problema;
  • incluir seu nome como o descobridor da vulnerabilidade em comunicado, se você desejar;
  • que uma descoberta acidental de uma vulnerabilidade não irá originar uma acusação contra você, desde que você cumpra as regras e aja no espírito desta política.

Apoiadores