Programa de Divulgação Responsável de Vulnerabilidades

Sobre este programa

Na InvGate, estamos comprometidos em proteger nossos clientes e seus dados. Como parte da nossa estratégia de segurança, a InvGate recebe de braços abertos as contribuições de colaboradores com seguranças externas que encontram vulnerabilidades, ajudando a melhorar a segurança de nossos sistemas e clientes. Se você descobriu um problema de segurança que acredita que a InvGate deva conhecer, adoraríamos trabalhar junto com você. InvGate reconhece e celebra aqueles que contribuem com descobertas valiosas e impactantes através dos changelogs do produto - os pesquisadores podem escolher se suas contribuições para a segurança da InvGate são públicas ou não. Nosso programa se aplica a vulnerabilidades encontradas nos sistemas e produtos que estão dentro do escopo, conforme descrito abaixo. Ao trabalhar conosco de forma colaborativa e confidencial, você será reconhecido pelas suas descobertas válidas.

Observação legal: a tradução a seguir da política do RVDP é fornecida para sua conveniência. Observe que a versão em inglês é a versão padrão que será aplicada, interpretada e executada por padrão - nenhuma tradução tem peso legal e existe para aumentar a acessibilidade do idioma.

Regras do Programa

As seguintes abordagens de teste e ataques não estão incluídos no escopo deste programa:

  • Exfiltração de dados como resultado direto de vulnerabilidades de software. Se tal vulnerabilidade for encontrada, os colaboradores devem entrar em contato com a equipe de Segurança da Informação da InvGate antes de explorá-la e depois aguardar instruções. A exfiltração não autorizada de dados antes de discutir um procedimento com a equipe de Segurança da Informação da InvGate será motivo para ações legais.
  • Ataques de negação de serviço, tanto distribuídos quanto gerais, embora achados sobre limitação de taxa e estrangulamento possam ser aceitos, dependendo das circunstâncias e dos detalhes técnicos do achado.
  • Phishing, smishing ou vishing contra funcionários da InvGate.
  • Tentativas de obter informações de contas de outros usuários. Se você acredita que encontrou um problema que pode comprometer os dados ou a sessão da conta de outro usuário, neste caso deve testar apenas em suas próprias contas de teste e não no ambiente de qualquer cliente da InvGate, e nos notificar imediatamente.
  • Uso de automação para realizar força bruta em credenciais de login.
  • Scraping manual ou automatizado de grandes seções do site para enumerar IDs de usuários, nomes de usuário, e-mails ou outras informações de usuários/funcionários.
  • Relatórios sobre a ausência de boas práticas de segurança, como cabeçalhos HSTS, CSP, CORS, sem evidência de exploração real.

Regras de Contas de Teste

Antes de realizar testes no site, você deve observar e concordar com as seguintes regras:

  • As tentativas de coletar informações de uma conta que não seja a que está utilizando deve se limitar às contas que você controla. Você não pode, em momento algum, tentar coletar informações de uma conta que não possua diretamente acesso. Se você deseja testar e/ou coletar informações ou passar para outro usuário, crie uma conta de demonstração para cada um desses propósitos.
  • Para todas as solicitações, utilize o cabeçalho X-InvGate-VulnerabilityResearcher:(endereço de e-mail) para indicar claramente que sua conta está relacionada ao programa de divulgação responsável (RVDP). Isso nos ajuda a resolver possíveis problemas decorrentes dos testes que você está realizando.

Termos de Porto Seguro

1. Termos de Porto Seguro

Para encorajar a pesquisa de segurança e a divulgação responsável de vulnerabilidades relacionadas à segurança, a InvGate declara que não tomará ações civis ou criminais, nem notificará as autoridades por violações acidentais ou de boa-fé dos Termos e Condições do Programa de Divulgação Responsável de Vulnerabilidades da InvGate ("a política de RVDP"). Como a InvGate tem presença internacional, a legislação dos seguintes países poderá ser aplicada: Estados Unidos, Argentina e União Europeia.

1.A.A InvGate considera as atividades de colaboração de segurança e divulgação de vulnerabilidades realizadas de forma consistente com a política de RVDP como "autorizadas" sob o Código Penal Argentino, bem como sob a DMCA (pela localização geográfica da infraestrutura da empresa nos Estados Unidos) e qualquer outra lei aplicável de uso de computadores. A menos que surjam casos específicos (para os quais o colaborador será notificado com antecedência), a InvGate renúncia a quaisquer possíveis reclamações legais contra os colaboradores por contornarem as medidas tecnológicas implementadas para proteger o produto dentro do escopo da nossa política de RVDP.
1.B.Se as descobertas de um colaborador envolverem redes, sistemas, informações, aplicativos, produtos ou serviços de terceiros (que não sejam da InvGate), a InvGate não pode vincular esse terceiro à renúncia da InvGate, e eles poderão tomar ações legais ou notificar as autoridades. A InvGate não pode autorizar a pesquisa de segurança em nome de outras entidades externas, e não pode oferecer defesa, indenização ou proteção aos colaboradores de qualquer ação de terceiros baseada em suas ações. Nesse caso, recomenda-se enviar a vulnerabilidade ao programa de divulgação responsável desse terceiro; os colaboradores devem copiar rvdp@invgate.com no relatório apenas se houver um componente pertencente à InvGate na pesquisa enviada.
1.C.Espera-se que, como sempre, você cumpra todas as leis aplicáveis a você (que incluem sua nacionalidade e localização geográfica no momento da pesquisa) e que não interrompa, distribua, publique ou comprometa quaisquer dados, infraestrutura ou continuidade de negócios além do permitido pela nossa política de RVDP.
1.D.Os colaboradores devem entrar em contato com a InvGate antes de realizar qualquer conduta que possa ser inconsistente, não compatível ou não abordada pela política de RVDP. A InvGate reserva todos os direitos de determinar se uma violação desta política é acidental ou de boa-fé. O contato proativo dos colaboradores antes de qualquer ação é um fator significativo nessa decisão.

2. Terceiros e Termos de Porto Seguro

Se você enviar um relatório por meio do nosso programa de RVDP que afete um serviço de terceiros que a InvGate utiliza ou não utiliza, a InvGate, por padrão, limitará as informações compartilhadas com qualquer terceiro afetado. A InvGate pode compartilhar conteúdo não identificável do relatório do colaborador com um terceiro afetado, somente após notificar o(s) colaboradores(es) sobre nossa intenção de submeter o conteúdo e obter o compromisso por escrito do terceiro de que não tomarão ações legais contra os colaboradores ou iniciarão contato com as autoridades com base em nosso relatório ou nos relatórios dos mesmos. A InvGate não compartilhará suas informações identificáveis com qualquer terceiro afetado sem primeiro obter sua permissão por escrito, em conformidade com o GDPR e as leis locais da Argentina e dos EUA.

2.A. A InvGate não autoriza testes fora do escopo em nome de terceiros, e tais testes estão além do escopo de nossa política. A InvGate proíbe a pesquisa de produtos, serviços, infraestrutura, etc., de terceiros realizada através do uso ilegal e não compatível de qualquer um dos produtos, serviços ou infraestrutura da InvGate. Além disso, a InvGate proíbe o uso de qualquer artefato de autenticação (incluindo, mas não se limitando a senhas, tokens de API e credenciais) que seja encontrado, vazado ou obtido como resultado de pesquisa compatível ou não compatível com a RVDP realizada em produtos, serviços, infraestrutura e quaisquer outros ativos da InvGate, para realizar pesquisa de segurança e vulnerabilidades no terceiro afetado.

Como exemplo, se um token de API criado e utilizado pela InvGate visando um terceiro específico for encontrado como resultado de pesquisa dentro do escopo da RVDP da InvGate, esse token de API não deve ser utilizado para realizar pesquisa de vulnerabilidades de segurança nos produtos, serviços ou infraestrutura do terceiro. Ações legais podem ser iniciadas, caso o colaborador não cumpra com isso.

2.B. Os colaboradores devem consultar a política de RVDP ou bug bounty daquele terceiro, se houver uma, ou contatar o terceiro diretamente ou por meio de um representante legal antes de iniciar qualquer teste naquele terceiro ou seus serviços. Isso não deve ser entendido como um acordo da parte da InvGate para defender, indenizar ou proteger os colaboradores de qualquer ação de terceiros baseada em suas ações.
2.C. No caso de uma ação legal ser iniciada por um terceiro, incluindo a aplicação da lei, contra o(s) colaborador(es) devido à sua participação nesta RVDP, e o(s) colaborador(es) tiverem cumprido suficientemente nossa política de RVDP (ou seja, não tiverem cometido violações intencionais ou de má-fé), a InvGate tomará medidas para reconhecer a conformidade das ações de um colaborador dentro da política de RVDP da InvGate. Embora a InvGate considere os relatórios enviados como confidenciais e documentos potencialmente privilegiados, protegidos contra divulgação compulsória na maioria das circunstâncias, os colaboradores devem estar cientes de que um tribunal poderia, apesar de nossas objeções, ordenar que compartilhemos informações com um terceiro.
2.D. A InvGate se reserva o direito de autorizar a publicação pública e outros formatos de publicação das vulnerabilidades encontradas pelo(s) pesquisador(es) que as encontrou(aram), para preservar a confidencialidade dos ativos críticos, caso se apliquem. Os pesquisadores devem solicitar a autorização primeiro, e um processo de revisão interna aprovará ou rejeitará a solicitação do pesquisador em até 10 dias úteis.

3. Isenção Limitada de Outras Políticas do Site

Na medida em que as atividades de pesquisa de segurança de um indivíduo sejam inconsistentes com certas restrições em nossas políticas relevantes do site, mas ao mesmo tempo sejam consistentes com os termos de nosso programa RVDP, a InvGate isenta temporariamente essas restrições para os únicos e limitados propósitos de permitir sua pesquisa de segurança sob este programa RVDP, antes de uma revisão interna com o departamento jurídico da InvGate.

Regras de reconhecimento de envio

A InvGate se reserva o direito de reconhecer você pelas descobertas que você nos enviar. Como parte deste acordo, você concorda em não divulgar um problema antes que uma correção seja implementada e em obter autorização prévia antes de qualquer divulgação. O não cumprimento destas regras poderá resultar em uma proibição deste programa ou outras ações disciplinares.

Como enviar seu Relatório

Todas as denúncias devem ser encaminhadas para rvdp@invgate.com. Informe os seguintes dados em seu e-mail:

  1. Seu nome completo ou pseudônimo (obrigatório)
  2. Se deseja ou não ser reconhecido publicamente nos changelogs do nosso produto
  3. Perfil no Github/LinkedIn/Mastodon/X (opcional)

Para garantir que a InvGate possa revisar e validar adequadamente suas descobertas, siga estas diretrizes para seu envio:

  1. Descrição: Forneça uma descrição clara do seu achado.
  2. Passos de Reprodução: Inclua passos detalhados para reproduzir o problema.
  3. Informações da Conta: Se aplicável, forneça o nome da conta usada para o teste. Isso nos ajuda a verificar estados específicos da conta e solucionar o problema, incluindo o tipo de papel do usuário (por exemplo, usuário, gerente, administrador).
  4. Descrição do Impacto: Descreva o impacto em nosso ambiente, clientes, dados ou funcionários.
  5. Evidências: Inclua uma captura de tela, vídeo ou código de prova de conceito para nos ajudar a reproduzir o problema.
  6. Detalhes do Navegador: Especifique a versão do navegador da web ou 'User-Agent' usado durante os testes, pois isso pode afetar o endpoint ou o fluxo de trabalho.
  7. Software e SO: Quando aplicável, liste as versões do software e os sistemas operacionais afetados.

Elegibilidade para reconhecimento público

  • Você concorda com as regras, termos e condições estabelecidas neste documento.
  • Você não é um funcionário atual nem foi um funcionário nos seis meses anteriores ao envio de um relatório.
  • Você deve ser a primeira pessoa a relatar esse problema.
  • Você não tentará acessar informações pessoais pertencentes a outro usuário, incluindo por meio da exploração de vulnerabilidades.
  • Você não realizará ataques ou testes de segurança contra fornecedores, parceiros ou terceiros que possam estar em uso.

Escopo

Esta seção lista os ativos, sites, produtos e serviços que são considerados dentro e fora do escopo. Esta lista está sujeita a alterações sem aviso prévio e deve ser revisada antes de enviar uma descoberta. Qualquer coisa que não esteja listada aqui é considerada fora do escopo.

Ativos dentro do escopo

  • *.invgate.com (hosts e registros DNS)
  • *.invgate.net (hosts e registros DNS)
  • APIs públicas
    InvGate Service ManagementInvGate Asset Management
  • Agente de InvGate Asset Management (IGAM)
    WindowsLinuxmacOSiOSAndroid
  • Aplicação móvel (iOS)
    InvGate Service Management

Vulnerabilidades fora do escopo

  • Métodos HTTP TRACE, TRACK ou OPTIONS habilitados.
  • Achados de clickjacking não exploráveis, como páginas que faltam com X-Frame-Options (a menos que a exploração seja comprovada).
  • Bugs lógicos que não representam risco imediato ou explorável de segurança.
  • Relatórios de Cross-Site Request Forgery em características com comportamento similar a CSRF (por exemplo, webhooks).
  • Ataques/fraquezas de denegação de serviço.
  • Preocupações sobre melhores práticas sem exploração demonstrável.
  • Ataques de força bruta de credenciais e sequestro de contas por phishing e outros meios externos aos produtos da InvGate.
  • Métodos de spam ou engenharia social.
  • Preocupações sobre complexidade de senhas.
  • Falhas em aplicativos móveis que não levam a uma escalada de segurança ou abuso.
  • Vulnerabilidades que exigem dispositivos com jailbreak ou acesso físico a um dispositivo desbloqueado para serem exploradas.

Se você acredita que encontrou um problema que afeta um ativo de nossa propriedade, mas não está incluído no escopo aqui, por favor, entre em contato conosco.

Pontuação de Severidade

O gráfico abaixo é baseado no Common Vulnerability Scoring System (CVSS) v3.1 da Mitre.

SeveridadePontuaçãoExemplos de problemas
Crítica9.0-10.0Divulgação de PII, execução remota de comandos, injeção SQL, injeção de código, bypass total de autenticação ou autorização, escalada de contas não privilegiadas ou semi-privilegiadas para admin/root.
Alta7.0-8.9Cross-site scripting, SSRF, bypass parcial de autenticação ou autorização.
Média4.0-6.9Directory traversal, CSRF, falta de flags de cookies seguras em cookies de sessão.
Baixa1.0-3.9Divulgação menor de informações, falta de flags HTTPOnly em cookies, etc.

InvGate não está oferecendo atualmente compensação por vulnerabilidades relatadas. Caso isso mude no futuro, esta política será atualizada.

People Cert service desk v7Pink Elephant Compliant SoftwareTrust Center

Service Management

ITAM

Aprenda

InvGate

Compare com

Política de PrivacidadePolítica de QualidadePolítica de CookiesTermos e CondiçõesContrato Principal de SubscriçãoAcessibilidadeRVDP© InvGate