A segurança online é importante para a Marketplacer e valorizamos o trabalho efectuado pelos investigadores de segurança. Esta política descreve como divulgar de forma responsável defeitos de segurança ou vulnerabilidades que afectam os produtos e serviços da Marketplacer.
Diretrizes
A identificação e divulgação de vulnerabilidades de segurança ajuda a Marketplacer a proteger a segurança e a privacidade de todos os que utilizam os serviços da Marketplacer.
Exigimos que todos os investigadores:
- Fazer todos os esforços para evitar violações de privacidade, degradação da experiência do utilizador, perturbação dos sistemas de produção e destruição de dados pertencentes à Marketplacer e aos nossos clientes durante os testes;
- Efetuar a investigação apenas dentro dos limites de âmbito definidos abaixo e em conformidade com a legislação aplicável (que inclui a legislação do local do investigador, da Austrália e, em alguns casos, dos Estados Unidos);
- Utilizar os canais de comunicação identificados para nos comunicar informações sobre vulnerabilidades; e
- Manter as informações sobre a descoberta de quaisquer defeitos ou vulnerabilidades confidenciais entre si e a Marketplacer até que tenha passado tempo suficiente para resolver o assunto, mas não menos de 90 dias a partir da data de notificação da vulnerabilidade à Marketplacer.
Desde que o utilizador siga estas diretrizes ao comunicar-nos um problema, comprometemo-nos a:
- Não intentar acções judiciais relacionadas com a sua descoberta e comunicação da vulnerabilidade (em relação a qualquer incumprimento destas diretrizes, reservamo-nos todos os nossos direitos legais);
- Trabalharemos com o cliente para compreender e resolver o problema rapidamente (incluindo uma confirmação inicial do relatório no prazo de 5 dias úteis após a receção da apresentação); e
- Reconhecer a sua contribuição no nosso Hall da Fama dos Investigadores de Segurança, se for o primeiro a comunicar um problema que ainda não tenhamos descoberto e se fizermos uma alteração de código ou de configuração com base no seu relatório.
Âmbito de aplicação
Esta política de divulgação aplica-se apenas a vulnerabilidades nos produtos e serviços da Marketplacer:
- Que sejam originais, não tenham sido anteriormente comunicadas e ainda não tenham sido descobertas por procedimentos internos; e
- Para domínios/subdomínios Marketplacer que têm um ficheiro security.txt (ou seja, https:///.well-known/security.txt).
Fora do âmbito
Os fornecedores e serviços de terceiros estão excluídos do âmbito de aplicação.
No interesse da segurança dos nossos utilizadores, do nosso pessoal, da Internet em geral e do utilizador enquanto investigador de segurança, os seguintes tipos de testes estão excluídos do âmbito de aplicação:
- Resultados de testes físicos, tais como o acesso ao escritório (por exemplo, portas abertas, visitas ao local);
- Descobertas derivadas principalmente da engenharia social (por exemplo, phishing, vishing);
- Resultados de uma conta que não lhe pertence;
- Resultados de aplicações ou sistemas não enumerados na secção "Âmbito de aplicação";
- Bugs de UI e UX, incluindo erros ortográficos; e
- Vulnerabilidades de negação de serviço (DoS/DDoS) ao nível da rede.
Coisas que não queremos receber:
- Informações de identificação pessoal (IPI);
- Dados do titular do cartão de crédito;
- Quaisquer outros dados sensíveis, tal como definidos na Lei da Privacidade australiana; e
- Relatórios que indicam que os nossos serviços não estão totalmente alinhados com as "melhores práticas", por exemplo, cabeçalhos de segurança em falta (CSP, x-frame-options, x-prevent-xss, etc.) ou configuração subóptima relacionada com o correio eletrónico (SPF, DMARC, etc.).
Esta política destina-se a alinhar-se com todos os requisitos legislativos relevantes e não lhe dá permissão para violar quaisquer leis nem faz com que a Marketplacer viole quaisquer leis.
Como comunicar uma vulnerabilidade de segurança
Se acredita ter identificado um defeito ou uma vulnerabilidade de segurança num dos nossos produtos ou plataformas, envie-nos o problema por correio eletrónico para security-vulnerability@marketplacer.com
O relatório deve incluir os seguintes elementos:
- Descrição da localização e do impacto potencial da vulnerabilidade;
- Uma descrição detalhada dos passos necessários para reproduzir a vulnerabilidade (scripts POC, capturas de ecrã e capturas de ecrã comprimidas são úteis para nós); e,
- O seu nome/apelido e uma ligação para reconhecimento no nosso Corredor da Fama.
Ao comunicar-nos a divulgação de uma vulnerabilidade, autoriza-nos a recolher e armazenar o seu nome e/ou identificador de investigador para efeitos de publicação dos seus dados no nosso hall da fama da divulgação responsável e para os nossos registos internos.
(Se não desejar que os seus dados sejam publicados, informe-nos no momento da divulgação).
Pedimos-lhe que encripte o seu relatório utilizando a nossa chave PGP e que apague todos os dados logo que deixem de ser razoavelmente necessários.
Se não tiver a certeza de que as suas acções estão em conformidade com a nossa política, contacte a nossa equipa de segurança para obter orientação em security-vulnerability@marketplacer.com.
Poderemos atualizar e rever esta política ocasionalmente. Quaisquer actualizações serão indicadas abaixo.