Ligar
No New
No New
Menu

Introdução

A Verisure está comprometida em garantir a segurança de nossos produtos, sistemas e de todos os dados de clientes, parceiros e funcionários. Valorizamos a colaboração com nossa comunidade de usuários e pesquisadores, que podem ajudar a identificar vulnerabilidades de segurança em nossos produtos e sistemas.

Esta Política estabelece um processo para a divulgação responsável de vulnerabilidades de segurança, com o objetivo de facilitar a colaboração eficaz e a resolução rápida de problemas de segurança. Esta Política estabelece diretrizes para relatar e gerenciar vulnerabilidades de segurança de forma responsável, de acordo com os padrões de conduta estabelecidos abaixo, e se aplica a qualquer vulnerabilidade de segurança que você pretenda relatar à Verisure.

Recomendamos que você leia esta Política na íntegra antes de relatar uma potencial Vulnerabilidade de Segurança.

Observe que a Verisure não oferece recompensas financeiras pela divulgação de vulnerabilidades de segurança.

Como relatar uma vulnerabilidade

A Verisure investiga todos os relatos de vulnerabilidades de segurança que afetam seus produtos e serviços. Se você acredita ter descoberto uma vulnerabilidade de segurança em um produto ou serviço da Verisure, envie seu relato de vulnerabilidade usando o formulário abaixo, fornecendo detalhes suficientes para que possamos reproduzir e investigar suas ações. Todos os campos obrigatórios devem ser preenchidos corretamente e lembre-se de que, de acordo com esta Política, é essencial que você mantenha a confidencialidade ao relatar uma vulnerabilidade de segurança. Solicitamos que você não torne sua investigação pública até que a Verisure tenha concluído a investigação, resolvido ou mitigado a vulnerabilidade de segurança e lhe tenha concedido permissão para fazê-lo.

Política de Divulgação Responsável do Grupo Verisure

Próximos passos

Após o envio da denúncia, a Verisure notificará o denunciante de que a denúncia foi recebida com sucesso e iniciará sua análise. A Verisure poderá entrar em contato com o denunciante por meio do portal anônimo para coletar mais informações sobre a denúncia e mantê-lo informado sobre o andamento do processo até o seu encerramento.

Nosso processo interno para abordar a Vulnerabilidade de Segurança começará pela revisão do relatório e pela determinação de seu impacto, gravidade e complexidade antes de implementar medidas corretivas, conforme apropriado.

A Verisure reserva-se o direito de compartilhar o conteúdo do Relatório de Vulnerabilidade de Segurança enviado e quaisquer descobertas subsequentes com as partes relevantes, mas não divulgará os detalhes associados à parte denunciante.

Produtos ou serviços de terceiros

Produtos, sistemas e dados que não sejam de propriedade da Verisure não são abrangidos por esta Política. Os denunciantes devem seguir as políticas de divulgação responsável fornecidas pelos respectivos terceiros caso desejem conduzir investigações ou testes nesses sistemas.

Regras de conduta

A Verisure valoriza os esforços e as contribuições da comunidade de pesquisa em segurança e exige o cumprimento dos seguintes padrões. A Verisure não tomará medidas legais contra denunciantes que descobrirem e divulgarem vulnerabilidades de segurança de boa-fé e em conformidade com esta Política.


O denunciante não deve:

  • Violar quaisquer leis ou regulamentos aplicáveis.
  • Introdução de uma nova vulnerabilidade de segurança ou tentativa de explorar uma existente.
  • Envolver-se em engenharia social ou fraude cibernética contra clientes ou funcionários.
  • Exija compensação financeira em troca da divulgação de uma vulnerabilidade de segurança.
  • Acessar sistemas ou dados além do necessário para identificar e relatar uma vulnerabilidade de segurança.
  • Adulteração de dispositivos de sistemas de alarme ou sistemas pertencentes a clientes existentes, mesmo os seus.
  • Modificar, copiar, compartilhar, corromper ou afetar de qualquer outra forma quaisquer dados processados ​​ou armazenados nos Produtos ou sistemas da Verisure.
  • Usar ferramentas de varredura invasivas, destrutivas ou de alta intensidade para encontrar vulnerabilidades de segurança ou executar atividades disruptivas, incluindo, mas não se limitando a, ataques de força bruta, ataques de negação de serviço ou ataques físicos contra instalações ou data centers da Verisure.
  • Interrompa os sinais de alarme, notificações ou adultere fisicamente seu próprio sistema de alarme de qualquer forma.
  • Realizar testes ou pesquisas relacionadas a serviços ou sistemas de terceiros não pertencentes à Verisure, como infraestrutura de provedores de nuvem externos.
  • Acessar volumes de dados desnecessários, excessivos ou significativos além do estritamente necessário para descobrir e confirmar a vulnerabilidade de segurança.


O denunciante deve:

  • Acesse dados e sistemas somente na medida necessária para confirmar a existência de uma vulnerabilidade de segurança.
  • Interrompa as atividades de investigação ou teste após a confirmação de uma vulnerabilidade de segurança e informe as descobertas à Verisure imediatamente.
  • Exclua com segurança todos os dados obtidos durante a investigação assim que a vulnerabilidade de segurança for relatada e a confirmação de aceitação for recebida da Verisure.
  • Obtenha a aprovação por escrito da Verisure antes de divulgar publicamente detalhes da vulnerabilidade de segurança. A Verisure também deve aprovar o conteúdo da divulgação pública.


O que não relatar:

  • Relatórios de vulnerabilidade de segurança duplicados.
  • Relatórios detalhando vulnerabilidades de segurança inexploráveis.
  • Erros na interface do usuário, experiência do usuário ou erros de ortografia.
  • Relatórios que indicam que os Produtos e Serviços não estão em total conformidade com as “melhores práticas”, como cabeçalhos de segurança ausentes ou XSS automático.


A Verisure deve:

  • Confirme que você recebeu o relatório de Vulnerabilidade de Segurança dentro de 30 dias após o recebimento do relatório.
  • Forneça atualizações de status quinzenais ao relator a partir da confirmação de recebimento acima até que o relatório de vulnerabilidade de segurança seja fechado.
  • Comunicar por escrito sua decisão sobre se o denunciante pode ou não divulgar publicamente a vulnerabilidade de segurança. Caso a Verisure tenha concordado previamente em fazê-lo, ela deverá revisar o conteúdo da divulgação pública antes de publicá-la.
     

Definições

Vulnerabilidade de segurança

Vulnerabilidades de segurança específicas detectadas em Produtos ou Serviços da Verisure que representam uma fraqueza encontrada em componentes de software ou hardware que, quando exploradas, podem impactar negativamente a confidencialidade, integridade ou disponibilidade dos dados ou serviços da Verisure.

Produto/serviço Verisure

Produtos ou sistemas desenvolvidos ou fabricados pela Verisure. Produtos, sistemas e dados que não sejam de propriedade da Verisure não são cobertos por esta Política.

Perguntas e Assistência

A equipe de segurança da Verisure foi designada para lidar com a divulgação de vulnerabilidades de segurança. Você pode contatá-los preenchendo e enviando o seguinte formulário.
Política de Divulgação Responsável do Grupo Verisure