Política de divulgação de vulnerabilidades

Introdução

A Ansell é uma especialista global em soluções de segurança, reinventando a proteção pessoal há 125 anos. Fornecemos as soluções de proteção mais avançadas a milhões de pessoas no trabalho e em casa, mantendo-as fora de perigo. Os nossos conhecimentos especializados, produtos inovadores e tecnologia avançada proporcionam aos nossos clientes a paz de espírito e a confiança que nenhuma outra marca é capaz de oferecer. A missão da Ansell é fornecer soluções inovadoras de segurança de uma forma credível e fiável, criando um mundo protegido pela Ansell.

Esta política destina-se a dar aos investigadores de segurança orientações claras para a realização de actividades de descoberta de vulnerabilidades e a transmitir as nossas preferências quanto à forma de nos enviar as vulnerabilidades de cibersegurança descobertas.

Esta política descreve que sistemas e tipos de investigação estão abrangidos por esta política, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos investigadores de segurança que esperem antes de divulgar publicamente uma vulnerabilidade de cibersegurança.

Encorajamo-lo a contactar-nos para comunicar qualquer potencial vulnerabilidade nos nossos sistemas.

Autorização

Se fizer um esforço de boa-fé para cumprir esta política durante a sua investigação de segurança, consideraremos a sua investigação como autorizada e trabalharemos consigo para compreender e resolver rapidamente qualquer problema de cibersegurança, e a Ansell não recomendará nem intentará acções judiciais relacionadas com a sua investigação. Se um terceiro intentar uma ação judicial contra o utilizador por actividades realizadas em conformidade com a presente política, daremos conhecimento desta autorização.

Linhas de orientação

1. Comunicar vulnerabilidades novas e únicas em matéria de cibersegurança: Isto ajuda-nos a concentrarmo-nos na resolução dos riscos com maior impacto para nós e para os nossos clientes. Não apresentar um grande volume de relatórios de baixa qualidade/baixo risco
2. Não comprometer os sistemas ou exfiltrar dados: Utilizar as explorações apenas na medida do necessário para confirmar a presença de uma vulnerabilidade de cibersegurança. Depois de obter informações suficientes para indicar um problema de segurança, não tente estabelecer persistência, visar, enumerar ou exfiltrar quaisquer dados internos, estabelecer acesso à linha de comandos, utilizar uma vulnerabilidade para aceder a outros sistemas. Interrompa o teste e notifique imediatamente a Ansell se encontrar quaisquer dados sensíveis (incluindo informações de identificação pessoal, informações financeiras, informações proprietárias ou segredos comerciais de qualquer parte).
3. Respeitar os outros: Não o fazer: violar a privacidade de qualquer funcionário ou cliente da Ansell, aceder ou tentar aceder a dados que não lhe pertençam; causar qualquer degradação da experiência do utilizador, realizar ataques não técnicos (por exemplo, engenharia social, phishing ou acesso não autorizado a infra-estruturas e funcionários da Ansell) ou realizar quaisquer acções que possam afetar negativamente a Ansell ou os seus clientes; causar perturbações nos sistemas de produção e exposição, destruição ou manipulação de dados.
4. Colaborar: Colabore connosco apenas através do nosso processo de divulgação coordenada, assim que for identificada uma vulnerabilidade de cibersegurança. O endereço eletrónico e o formulário Web HTTPS estão disponíveis abaixo.
5. Notifique-nos (através dos passos abaixo) assim que descobrir um problema de segurança real ou potencial no nosso sistema. Queremos resolver prontamente estas questões e pedimos que a nossa notificação atempada não seja sacrificada enquanto estiver a realizar mais investigação, por exemplo, sobre outros produtos.
6. Dê-nos um período de tempo razoável para resolver o problema antes de o divulgar publicamente. 90 dias de calendário a partir da data de receção por nós (software, incluindo sistemas baseados na nuvem e aplicações móveis) ou 120 dias de calendário a partir da data de receção por nós (hardware, firmware e sem fios).

Divulgação pública

Conforme estabelecido nas directrizes acima, para cumprir esta política, pedimos-lhe que se abstenha de partilhar o seu relatório sobre a Ansell com outras pessoas antes de o enviar para nós e enquanto investigamos a suspeita de vulnerabilidade de cibersegurança e potencialmente trabalhamos numa correção ou noutras resoluções. Antes de fazer uma revelação, contacte-nos sobre quaisquer questões relacionadas com a Ansell.

Informá-lo-emos quando finalizarmos as nossas conclusões após a resolução da vulnerabilidade de cibersegurança. Para cumprir esta política, exigimos que faça uma ligação às conclusões da Ansell juntamente com as suas conclusões em quaisquer publicações de blogues, relatórios públicos, apresentações ou quaisquer outras declarações públicas sobre o assunto. Para além de uma eventual listagem de uma cronologia geral relativa à vulnerabilidade para a qual chamou a nossa atenção, não publicaremos informações sobre si ou sobre as nossas comunicações consigo sem a sua autorização. Se desejar ser reconhecido, agradecer-lhe-emos pelo seu nome ou apelido na nossa assessoria. A Ansell não atribui crédito a funcionários ou contratantes da Ansell e das suas subsidiárias por vulnerabilidades que tenham encontrado.

Na medida em que esta política se refere a uma "vulnerabilidade" ou "vulnerabilidades", pretende-se e entende-se que todas essas referências significam vulnerabilidades potenciais ou suspeitas de cibersegurança, quer sejam declaradas ou não, até que essa vulnerabilidade tenha sido investigada e confirmada pela Ansell. O reconhecimento da divulgação de uma vulnerabilidade e o momento do reconhecimento ficam inteiramente ao nosso critério e podemos cancelar o programa em qualquer altura. Os testes não devem violar nenhuma lei.

Métodos de ensaio

Os seguintes métodos de ensaio não são autorizados:

• Testes de negação de serviço da rede (DoS ou DDoS) ou outros testes que impeçam o acesso ou danifiquem um sistema ou dados
• Testes físicos (por exemplo, acesso ao escritório, portas abertas, visitas a locais fechados), engenharia social (por exemplo, phishing, vishing) ou quaisquer outros testes de vulnerabilidade não técnicos

Âmbito

Esta política aplica-se aos seguintes sistemas e serviços:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianchemical.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Qualquer outro subdomínio de ansell.com

Todos os pedidos de clientes estão excluídos desta política.

Vulnerabilidades fora do âmbito

Ao comunicar vulnerabilidades, tenha em conta (1) o cenário de ataque/exploração e (2) o impacto da falha na segurança. As seguintes questões são consideradas fora do âmbito de aplicação:

• Clickjacking em páginas sem acções sensíveis
• Falsificação de pedidos entre sítios (CSRF) em formulários não autenticados ou formulários sem acções sensíveis
• Ataques que requerem MITM ou acesso físico ao dispositivo de um utilizador
• Bibliotecas vulneráveis anteriormente conhecidas sem uma Prova de Conceito funcional
• Injeção de valores separados por vírgula (CSV) sem demonstrar uma vulnerabilidade.
• Falta de melhores práticas na configuração SSL/TLS.
• Qualquer atividade que possa levar à interrupção do nosso serviço (DoS)
• Problemas de falsificação de conteúdos e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS
• Problemas de limitação de taxa ou de força bruta em pontos de extremidade sem autenticação
• Ausência de melhores práticas na Política de Segurança de Conteúdos
• Sinalizadores Http Only ou Secure em falta nos cookies
• Falta de melhores práticas de correio eletrónico (registos SPF/DKIM/DMARC inválidos, incompletos ou em falta, etc.)
• Vulnerabilidades que afectam apenas os utilizadores de navegadores desactualizados ou não corrigidos [menos de 2 versões estáveis atrás da última versão estável lançada]
• Divulgação da versão do software / Problemas de identificação de banner / Mensagens de erro descritivas ou cabeçalhos (por exemplo, traços de pilha, erros de aplicação ou de servidor)
• Tabnabbing
• Redireccionamento aberto - a menos que possa ser demonstrado um impacto adicional na segurança
• Questões que requerem uma interação improvável do utilizador

Todos os serviços não expressamente enumerados acima, tais como os serviços ligados, estão excluídos do âmbito de aplicação e não são autorizados para efeitos de ensaio. Além disso, as vulnerabilidades de cibersegurança detectadas em sistemas dos nossos fornecedores não se inserem no âmbito desta política e devem ser comunicadas diretamente ao fornecedor, de acordo com a sua política de divulgação (caso exista). Se não tiver a certeza se um sistema está abrangido ou não, contacte-nos em security.vdr@ansell.com antes de iniciar a sua pesquisa.

Embora desenvolvamos e mantenhamos outros sistemas ou serviços acessíveis pela Internet, solicitamos que a investigação e os testes activos sejam realizados apenas nos sistemas e serviços abrangidos pelo âmbito do presente documento. Se houver um sistema específico não abrangido pelo âmbito de aplicação que considere merecer ser testado, contacte-nos para o discutirmos primeiro. Tencionamos alargar o âmbito desta política ao longo do tempo.

Comunicar uma vulnerabilidade

As informações apresentadas ao abrigo desta política serão utilizadas apenas para fins defensivos - para atenuar ou corrigir vulnerabilidades de cibersegurança. Não partilharemos o seu nome ou informações de contacto sem autorização expressa.

Aceitamos relatórios de vulnerabilidade neste formulário abaixo ou através de security.vdr@ansell.com. As denúncias podem ser apresentadas de forma anónima. Se partilhar informações de contacto, acusaremos a receção do seu relatório no prazo de 3 dias úteis.

Não suportamos mensagens de correio eletrónico encriptadas por PGP. Para informações particularmente sensíveis, envie-as através do nosso formulário Web HTTPS abaixo.

O que gostaríamos de ver de si

Para nos ajudar a fazer a triagem e a dar prioridade às candidaturas, recomendamos que os seus relatórios

• Descrever o local onde a vulnerabilidade de cibersegurança foi descoberta e o potencial impacto da exploração.
• Apresentar uma descrição pormenorizada das etapas necessárias para reproduzir a vulnerabilidade de cibersegurança (são úteis guiões de prova de conceito ou capturas de ecrã), incluindo (se aplicável):
  o Versão da aplicação móvel
  o Tipo de dispositivo, versão do sistema operativo, versão do navegador
• Se possível, em inglês.

O que pode esperar de nós

Quando optar por partilhar as suas informações de contacto connosco, comprometemo-nos a coordenar-nos consigo de forma tão aberta e rápida quanto possível.

• No prazo de 5 dias úteis, confirmaremos a receção da sua denúncia.
• Na medida das nossas possibilidades, confirmaremos ao utilizador a existência da vulnerabilidade de cibersegurança e seremos tão transparentes quanto possível sobre os passos que estamos a dar durante o processo de correção, incluindo sobre questões ou desafios que possam atrasar a resolução
• Manteremos um diálogo aberto para debater as questões.
• Ao comunicar uma falha ou vulnerabilidade de segurança, o utilizador dá-nos o direito de utilizar a sua comunicação para qualquer fim.

Perguntas

As perguntas relativas a esta política podem ser enviadas para security.vdr@ansell.com. Convidamo-lo também a contactar-nos com sugestões para melhorar esta política.