Ligar
No New
No New
Menu

Sumário Executivo

A Verisure tem o compromisso de assegurar a segurança de nossos Produtos, Sistemas e todos os dados dos clientes, parceiros e funcionários. Valorizamos a colaboração junto à nossa comunidade de usuários e pesquisadores que podem contribuir para a identificação de vulnerabilidades de segurança nos nossos produtos e sistemas. Esta Política descreve um processo para a divulgação responsável de Vulnerabilidade de Segurança, com o objetivo de facilitar a colaboração eficaz e a rápida remediação de problemas de segurança.

Introdução

Esta Política estabelece orientações para denunciar e lidar com vulnerabilidades de segurança da informação de maneira responsável, conforme as regras de engajamento identificadas abaixo e que se aplicam a Vulnerabilidades de Segurança que você esteja considerando denunciar à Verisure.

Recomendamos a leitura desta Política na íntegra antes de denunciar uma possível Vulnerabilidade de Segurança.

Observe que a Verisure não oferece recompensas monetárias para divulgações de vulnerabilidades de segurança.

Palavras em maiúsculas podem ser encontradas na seção de definições deste documento.

Principios Fundamentais

Boa fé:
A Verisure não tomará medidas judiciais contra denunciantes que descobrirem e divulgarem, de boa-fé, vulnerabilidades de segurança de acordo com esta Política.
Falta de compliance intencional:
A Verisure não oferece imunidade em casos de divulgação intencional ou divulgação irresponsável de Vulnerabilidades de Segurança sem seguir os procedimentos estabelecidos, como divulgar publicamente uma Vulnerabilidade de Segurança identificada.
Interrupção dos serviços:
A Política não permite atividades que possam afetar a confidencialidade, integridade ou disponibilidade de informações e sistemas, como interferência nos Serviços da Verisure ou o funcionamento dos Produtos da Verisure.
Regras de engajamento:
O denunciante precisa revisar e seguir a seção Regras de compromisso definida nesta Política.

Quem precisa seguir esta Política

Esta Política deve ser seguida por partes interessadas da nossa comunidade que estejam considerando denunciar uma Vulnerabilidade de Segurança encontrada nos nossos sistemas, como pesquisadores de segurança, hackers éticos, usuários e clientes que se deparam com vulnerabilidades durante o uso normal de um Serviço ou Produto, equipes internas da Verisure que abordarão essas Vulnerabilidades de Segurança e os usuários finais afetados por essas Vulnerabilidades de Segurança.

Como faço para cumpri-la?

Como denunciar uma Vulnerabilidade

A Verisure investiga todos as denúncias de Vulnerabilidades de Segurança que afetam os Produtos e Serviços. Se você acredita que se deparou com uma Vulnerabilidade de Segurança em um Produto ou Serviço da Verisure, envie a denúncia de vulnerabilidade por meio do formulário indicado abaixo, contendo detalhes suficientes para reproduzirmos e investigarmos a vulnerabilidade informada. Todos os campos obrigatórios precisam ser preenchidos corretamente e é fundamental que você mantenha a confidencialidade ao denunciar uma vulnerabilidade de segurança no âmbito desta política. Pedimos que você não divulgue sua investigação publicamente até que a Verisure tenha concluído a investigação, resolvido ou mitigado a Vulnerabilidade de Segurança e concedido permissão para isso.

Próximos passos

Após o envio da sua denúncia, a Verisure notificará o denunciante de que a denúncia foi recebida corretamente dará início à triagem da denúncia. A Verisure poderá entrar em contato com o denunciante, por meio do portal anônimo na internet, para coletar mais informações sobre a denúncia e mantê-lo atualizado sobre o progresso até o encerramento.

Nosso processo interno para abordar a Vulnerabilidade de Segurança começará com a análise da denúncia, determinação do seu impacto, gravidade e complexidade, antes de implementar medidas de remediação, conforme o caso.

A Verisure reserva-se o direito de compartilhar o conteúdo do relatório de Vulnerabilidade de Segurança enviado e quaisquer descobertas subsequentes com as partes em questão, mas não divulgará detalhes associados ao denunciante.

Produtos ou Serviços de terceiros

Produtos, sistemas e dados que não pertençam à Verisure não são abrangidos por esta Política. Os denunciantes precisam seguir as políticas de divulgação responsáveis disponibilizadas pelos respectivos terceiros se desejarem realizar pesquisas ou testes desses sistemas.

Regras de engajamento

A Verisure aprecia os esforços e as contribuições da comunidade de pesquisa de segurança e exige que você siga as seguintes regras. A Verisure não tomará medidas judiciais contra denunciantes que descobrirem e divulgarem, de boa-fé, Vulnerabilidades de Segurança de acordo com esta Política.

O denunciante não poderá:

  • Violar as leis ou os regulamentos pertinentes.
  • Introduzir uma nova ou tentar explorar uma Vulnerabilidade de Segurança existente.
  • Participar de engenharia social ou phishing de clientes ou funcionários.
  • Exigir compensação financeira em troca da divulgação de uma Vulnerabilidade de Segurança.
  • Acessar sistemas ou dados além do necessário para identificar e denunciar uma Vulnerabilidade de Segurança.
  • Adulterar dispositivos de sistemas de alarme ou sistemas pertencentes a clientes existentes, mesmo que sejam seus.
  • Modificar, copiar, compartilhar, corromper ou de outra forma impactar os dados processados ou armazenados nos Produtos ou sistemas da Verisure.
  • Usar ferramentas de varredura de alta intensidade, invasivas ou destrutivas para encontrar vulnerabilidades de segurança ou realizar atividades disruptivas, incluindo, dentre outras, ataques de força bruta, ataques de negação de serviço ou ataques físicos contra instalações ou datacenter da Verisure.
  • Interromper sinais de alarme, notificações ou adulterar fisicamente seu próprio sistema de alarme de qualquer maneira.
  • Realizar testes ou pesquisas em relação a serviços ou sistemas de terceiros que não pertençam à Verisure, como em relação à infraestrutura de provedor de nuvem externo.
  • Acessar quantidades desnecessárias, excessivas ou significativas de dados além do que é necessário para a descoberta e confirmação da Vulnerabilidade de Segurança.

O denunciante deverá:

  • Acessar somente dados e sistemas na medida necessária para confirmar a existência de uma Vulnerabilidade de Segurança.
  • Interromper as atividades de pesquisa e/ou teste ao confirmar a existência de uma Vulnerabilidade de Segurança e denunciar as descobertas à Verisure imediatamente.
  • Excluir, com segurança, todos os dados recuperados durante a pesquisa assim que a Vulnerabilidade de Segurança tiver sido denunciada e a confirmação de aceitação tiver sido recebida da Verisure.
  • Aguardar a aprovação por escrito da Verisure antes de divulgar publicamente os detalhes da Vulnerabilidade de Segurança. O conteúdo da divulgação pública também precisa ser aprovado pela Verisure.

O que não denunciar:

  • Denúncias duplicadas de Vulnerabilidades de Segurança.
  • Denúncias detalhando Vulnerabilidades de Segurança não exploráveis.
  • Bugs de interface do usuário, bugs de experiência do usuário ou erros de ortografia.
  • Denúncias indicando que os Produtos e Serviços não se alinham totalmente com a “melhor prática”, como cabeçalhos de segurança ausentes ou autoscripting entre sites.

A Verisure deverá:

  • Confirmar o recebimento da denúncia de Vulnerabilidade de Segurança no prazo de 30 dias após o recebimento da denúncia.
  • Atualizar o denunciante quanto ao status quinzenalmente, desde a confirmação de recebimento acima até o encerramento da denúncia de Vulnerabilidade de Segurança.
  • Fornecer uma decisão por escrito sobre se o denunciante poderá ou não divulgar publicamente a Vulnerabilidade de Segurança. Se previamente acordado pela Verisure, a Verisure terá de analisar o conteúdo da divulgação pública antes da publicação.

Regulamentação de Divulgação Responsável

Esta Política foi criada para ser compatível com as boas práticas comuns de divulgação de Vulnerabilidade de Segurança e os regulamentos pertinentes. Ela não oferece imunidade aos que agem de forma inconsistente com a lei ou que possam fazer com que a Verisure ou organizações parceiras violem as obrigações legais.

Quem faz o quê?

Denunciante:
Qualquer indivíduo que denuncie uma Vulnerabilidade de Segurança encontrada nos Produtos ou Sistemas da Verisure, incluindo, dentre outros, pesquisadores de segurança, hackers éticos, parceiros, funcionários e clientes da Verisure que se deparem com problemas durante o uso normal de um Produto ou Serviço.
Verisure:
Todo o pessoal da Verisure, inclusive funcionários e prestadores de serviços, envolvidos no processo para analisar e responder às Vulnerabilidades de Segurança denunciadas por este meio.

Definições

Vulnerabilidade de Segurança:
Vulnerabilidades de segurança específicas, encontradas nos Produtos ou Serviços da Verisure, que constituam uma fraqueza encontrada nos componentes de software ou hardware que, quando explorados, podem resultar em um impacto negativo na confidencialidade, integridade ou disponibilidade dos dados ou serviços da Verisure.
Produtos/Serviços da Verisure:
Produtos ou sistemas desenvolvidos ou fabricados pela Verisure. Produtos, sistemas e dados que não pertençam à Verisure não são abrangidos por esta Política.

Duvidas e Suporte

A equipe de segurança da Verisure foi indicada para lidar com Divulgações de Vulnerabilidades de Segurança. Para entrar em contato com a equipe, preencha e envie o formulário abaixo.

Formulário de Envio

Política de Divulgação Responsável | Verisure