Comunicar uma vulnerabilidade de segurança
A Equipa de Resposta a Incidentes de Segurança de Produtos (PSIRT) da Dewesoft agradece as comunicações dos utilizadores e investigadores. Se considerar que identificou uma vulnerabilidade num site ou produto da Dewesoft, ou um problema relacionado com a proteção de dados, escolha o canal adequado abaixo e envie-nos os detalhes.
SOBRE ESTA PÁGINA
Como comunicar uma vulnerabilidade de segurança
A Dewesoft PSIRT incentiva a divulgação responsável de vulnerabilidades de segurança. A comunicação coordenada ajuda-nos a resolver os problemas mais rapidamente, a manter os clientes informados e a melhorar continuamente a segurança do nosso software, instrumentos e serviços online.
Por favor, leia as opções abaixo e escolha aquela que corresponde à sua descoberta. Cada relatório é analisado pela PSIRT e tratado de forma confidencial.
Não é uma questão de segurança? As questões gerais relativas à qualidade, garantia, licenciamento ou assistência técnica não são tratadas pela PSIRT. Por favor, utilize o procedimento padrão Canais de apoio e contacto da Dewesoft Em vez disso, para que o seu pedido chegue à equipa certa sem demora.
TRÊS CANAIS DE COMUNICAÇÃO
Para onde enviar o seu relatório
CANAL 01 · WEB
Vulnerabilidades de segurança em sítios Web
No caso de vulnerabilidades ou incidentes que afetem um site ou serviço online da Dewesoft — por exemplo, o dewesoft.com, os portais de apoio, de programadores, do fórum ou da loja.
Entre as falhas mais comuns contam-se o «cross-site scripting», a injeção de código, falhas de autenticação ou de controlo de acesso, configurações inseguras ou a exposição de dados confidenciais.
CANAL 02 · PRODUTO
Vulnerabilidades de segurança do produto
No que diz respeito a vulnerabilidades ou incidentes num produto Dewesoft — incluindo o software DewesoftX e DewesoftM, firmware, APIs e SDKs, bem como hardware de aquisição de dados, como o SIRIUS, o KRYPTON, o IOLITE, o OBSIDIAN e dispositivos relacionados.
Por favor, indique-nos o produto exato, o modelo e a versão do software ou do firmware afetados.
CANAL 03 · DADOS
Questões relacionadas com a proteção de dados
Em caso de questões relacionadas com a proteção de dados e a privacidade — por exemplo, uma suspeita de violação de dados pessoais, a divulgação de informações pessoais ou uma dúvida sobre a forma como a Dewesoft trata os seus dados.
Também pode utilizar este canal para apresentar pedidos relativos aos titulares de dados, ao abrigo da legislação aplicável em matéria de privacidade.
TORNE O SEU RELATÓRIO PRÁTICO
Que informações incluir
No que diz respeito a vulnerabilidades no site ou nos produtos, quanto mais detalhes nos fornecer, mais rapidamente poderemos reproduzir e resolver o problema. Sempre que possível, inclua:
01
Alvo afetado
O produto, o modelo e a versão do software ou do firmware — ou o URL exato de uma vulnerabilidade num site.
02
Descrição e comprovação
Uma descrição clara da vulnerabilidade, incluindo os passos para a reproduzir, uma prova de conceito, código de exploração ou registos de rede, quando disponíveis.
03
Referências públicas
Quaisquer referências relacionadas e se a questão já foi divulgada publicamente — e por quem.
Vai enviar ficheiros grandes? Se precisar de partilhar uma grande quantidade de dados, mencione-o no seu e-mail e poderemos combinar consigo um método de transferência seguro.
DIVULGAÇÃO RESPONSÁVEL
Trabalhar em conjunto de boa-fé
Pedimos aos investigadores que sigam estes princípios para que possamos investigar e resolver os problemas sem colocar em risco os utilizadores ou os sistemas.
✓ Por favor, faz isso
Comunique o que descobrir o mais rapidamente possível após a descoberta.
Concedam-nos um prazo razoável para investigarmos e corrigirmos a situação antes de qualquer divulgação pública.
Forneça detalhes suficientes para que seja possível reproduzir o problema.
Aja de boa-fé e evite violações da privacidade ou interrupções no serviço.
✕ Por favor, evite
Aceder, alterar ou eliminar dados que não lhe pertencem.
Diminuição da disponibilidade do serviço, por exemplo, testes de negação de serviço.
Engenharia social, phishing ou ataques físicos contra o pessoal ou as instalações.
Divulgar publicamente o problema antes de o termos resolvido.
Informação importante
01 Relatórios apresentados em Inglês pode ser tratado mais rapidamente. Por favor, descreva o problema da forma mais clara possível.
02 Vulnerabilidades e problemas publicados anteriormente e classificados como informativo pode não ser elegível para reconhecimento.
03 Agradecemos aos investigadores que nos ajudam a melhorar a segurança. Indique-nos no seu relatório se deseja ser mencionado e de que forma.
04 Recomendamos vivamente que e-mail encriptado no caso de dados confidenciais. Contacte a PSIRT para solicitar a nossa chave de encriptação pública atual antes de enviar.