Política de divulgação de vulnerabilidades

Introdução

A Ansell é uma especialista global em soluções de segurança, reinventando a proteção pessoal há 125 anos. Fornecemos as soluções de proteção mais avançadas para milhões de pessoas no trabalho e em casa, mantendo-as fora de perigo. Nossa especialidade, os produtos inovadores e tecnologia avançada oferece aos nossos clientes paz de espírito e confiança que nenhuma outra marca pode oferecer. A missão da Ansell é fornecer soluções de segurança inovadoras de forma confiável e segura, criando um mundo protegido pela Ansell.

O objetivo desta política é fornecer aos pesquisadores de segurança diretrizes claras para a realização de atividades de descoberta de vulnerabilidades e transmitir nossas preferências sobre como nos enviar as vulnerabilidades de segurança cibernética descobertas.

Esta política descreve quais sistemas e tipos de pesquisa estão cobertos por ela, como nos enviar relatórios de vulnerabilidade e quanto tempo pedimos aos pesquisadores de segurança que aguardem antes de divulgar publicamente uma vulnerabilidade de segurança cibernética.

Recomendamos que você entre em contato conosco para relatar qualquer possível vulnerabilidade em nossos sistemas.

Autorização

Se você se esforçar de boa-fé para cumprir esta política durante a sua pesquisa de segurança, consideraremos a sua pesquisa como autorizada e trabalharemos com você para entender e resolver rapidamente qualquer problema de segurança cibernética, e a Ansell não recomendará nem tomará medidas legais relacionadas à sua pesquisa. Se uma ação legal for iniciada por um terceiro contra você por atividades conduzidas de acordo com esta política, tornaremos essa autorização conhecida.

Diretrizes

1. Relate vulnerabilidades novas e exclusivas de segurança cibernética: Isso nos ajuda a focar na correção dos riscos mais impactantes para nós e nossos clientes. Não envie um grande volume de relatórios de baixa qualidade/baixo risco
2. Não comprometa os sistemas nem exfiltre dados: Use exploits somente na medida necessária para confirmar a presença de uma vulnerabilidade de segurança cibernética. Depois de obter informações suficientes para indicar um problema de segurança, não tente estabelecer persistência, direcionar, enumerar ou exfiltrar dados internos, estabelecer acesso à linha de comando ou usar uma vulnerabilidade para acessar outros sistemas. Interrompa o teste e notifique imediatamente apenas a Ansell caso encontre dados confidenciais (incluindo informações de identificação pessoal, informações financeiras, informações proprietárias ou segredos comerciais de qualquer parte).
3. Respeitar os outros: Não o faça: violar a privacidade de qualquer funcionário ou cliente da Ansell, acessar ou tentar acessar dados que não lhe pertençam; causar qualquer degradação da experiência do usuário, realizar ataques não técnicos (por exemplo, engenharia social, phishing ou acesso não autorizado à infraestrutura e aos funcionários da Ansell) ou executar quaisquer ações que possam afetar negativamente a Ansell ou seus clientes; causar interrupções nos sistemas de produção e exposição, destruição ou manipulação de dados.
4. Colabore: colabore conosco somente por meio de nosso processo de divulgação coordenada assim que uma vulnerabilidade de segurança cibernética for identificada. O endereço de e-mail e o formulário da Web HTTPS estão disponíveis abaixo.
5. Notifique-nos (por meio das etapas abaixo) assim que descobrir um problema de segurança real ou potencial em nosso sistema. Queremos resolver prontamente essas questões e pedimos que a notificação oportuna não seja sacrificada enquanto você estiver realizando pesquisas adicionais, por exemplo, sobre outros produtos.
6. Dê-nos um tempo razoável para resolver o problema antes de divulgá-lo publicamente. 90 dias corridos a partir do recebimento por nós (software, incluindo sistemas baseados em nuvem e aplicativos móveis) ou 120 dias corridos a partir do recebimento por nós (hardware, firmware e wireless).

Divulgação pública

Conforme estabelecido nas diretrizes acima, para cumprir esta política, solicitamos que você não compartilhe seu relatório sobre a Ansell com outras pessoas antes de enviá-lo para nós e enquanto investigamos a suspeita de vulnerabilidade de segurança cibernética e potencialmente trabalhamos em um patch ou outras resoluções. Levante quaisquer problemas com a Ansell conosco antes de fazer uma divulgação.

Nós o informaremos quando finalizarmos nossas descobertas depois que a vulnerabilidade de segurança cibernética for resolvida. Para estar em conformidade com essa política, exigimos que você crie um link para as descobertas da Ansell juntamente com as suas descobertas em qualquer postagem de blog, relatório público, apresentação ou qualquer outra declaração pública sobre o assunto. Além de listar potencialmente uma linha do tempo geral referente à vulnerabilidade para a qual você chamou nossa atenção, não publicaremos informações sobre você ou sobre nossas comunicações com você sem sua permissão. Se desejar ser reconhecido, nós o agradeceremos pelo nome ou apelido em nossa assessoria. A Ansell não dá crédito a funcionários ou contratados da Ansell e de suas subsidiárias por vulnerabilidades encontradas.

Na medida em que esta política se refere a uma "vulnerabilidade" ou "vulnerabilidades", pretende-se e entende-se que todas essas referências significam vulnerabilidades potenciais ou suspeitas de segurança cibernética, sejam elas declaradas ou não, até que tal vulnerabilidade tenha sido investigada e confirmada pela Ansell. O reconhecimento ou não da divulgação de uma vulnerabilidade e o momento do reconhecimento ficam inteiramente a nosso critério, e podemos cancelar o programa a qualquer momento. Seus testes não devem violar nenhuma lei.

Métodos de teste

Os métodos de teste a seguir não são autorizados:

• Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudiquem o acesso ou danifiquem um sistema ou dados
• Testes físicos (por exemplo, acesso ao escritório, portas abertas, tailgating), engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico

Escopo

Esta política se aplica aos seguintes sistemas e serviços:

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianpartner.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Qualquer outro subdomínio de ansell.com

Todos os aplicativos de clientes estão excluídos desta política.

Vulnerabilidades fora do escopo

Ao relatar vulnerabilidades, considere (1) o cenário de ataque/exploração e (2) o impacto do bug na segurança. Os seguintes problemas são considerados fora do escopo:

• Clickjacking em páginas sem ações confidenciais
• Cross-Site Request Forgery (CSRF) em formulários não autenticados ou formulários sem ações confidenciais
• Ataques que exigem MITM ou acesso físico ao dispositivo de um usuário
• Bibliotecas vulneráveis conhecidas anteriormente sem uma prova de conceito funcional
• Injeção de valores separados por vírgula (CSV) sem demonstrar uma vulnerabilidade.
• Falta de práticas recomendadas na configuração de SSL/TLS.
• Qualquer atividade que possa levar à interrupção de nosso serviço (DoS)
• Problemas de falsificação de conteúdo e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS
• Problemas de limitação de taxa ou força bruta em endpoints sem autenticação
• Ausência de práticas recomendadas na Política de segurança de conteúdo
• Falta de sinalizadores Http Only ou Secure nos cookies
• Ausência de práticas recomendadas de e-mail (registros SPF/DKIM/DMARC inválidos, incompletos ou ausentes, etc.)
• Vulnerabilidades que afetam apenas os usuários de navegadores desatualizados ou não corrigidos [menos de 2 versões estáveis atrás da última versão estável lançada]
• Divulgação da versão do software / Problemas de identificação de banner / Mensagens de erro descritivas ou cabeçalhos (por exemplo, rastreamentos de pilha, erros de aplicativo ou servidor)
• Tabnabbing
• Redirecionamento aberto - a menos que seja possível demonstrar um impacto adicional na segurança
• Problemas que exigem interação improvável com o usuário

Qualquer serviço não expressamente listado acima, como qualquer serviço conectado, está excluído do escopo e não está autorizado para testes. Além disso, as vulnerabilidades de segurança cibernética encontradas em sistemas de nossos fornecedores estão fora do escopo desta política e devem ser informadas diretamente ao fornecedor de acordo com sua política de divulgação (se houver). Se não tiver certeza se um sistema está no escopo ou não, entre em contato conosco pelo e-mail security.vdr@ansell.com antes de iniciar sua pesquisa.

Embora desenvolvamos e mantenhamos outros sistemas ou serviços acessíveis pela Internet, solicitamos que pesquisas e testes ativos sejam realizados somente nos sistemas e serviços cobertos pelo escopo deste documento. Se houver um sistema específico não incluído no escopo que você acha que merece ser testado, entre em contato conosco para discuti-lo primeiro. Pretendemos aumentar o escopo dessa política ao longo do tempo.

Relatar uma vulnerabilidade

As informações enviadas de acordo com esta política serão usadas apenas para fins defensivos - para mitigar ou remediar vulnerabilidades de segurança cibernética. Não compartilharemos seu nome ou informações de contato sem permissão expressa.

Aceitamos relatórios de vulnerabilidade no formulário abaixo ou pelo site security.vdr@ansell.com. Os relatórios podem ser enviados anonimamente. Se você compartilhar informações de contato, confirmaremos o recebimento da sua denúncia em até 3 dias úteis.

Não oferecemos suporte a e-mails criptografados por PGP. Para informações particularmente confidenciais, envie-as por meio de nosso formulário da Web HTTPS abaixo.

O que gostaríamos de ver de você

Para nos ajudar a fazer a triagem e priorizar os envios, recomendamos que seus relatórios

• Descreva o local em que a vulnerabilidade de segurança cibernética foi descoberta e o possível impacto da exploração.
• Ofereça uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade de segurança cibernética (scripts de prova de conceito ou capturas de tela são úteis), incluindo (conforme aplicável):
  o Versão do aplicativo móvel
  o Tipo de dispositivo, versão do sistema operacional, versão do navegador
• Esteja em inglês, se possível.

O que você pode esperar de nós

Quando você opta por compartilhar suas informações de contato conosco, comprometemo-nos a entrar em contato com você da forma mais aberta e rápida possível.

• Em até 5 dias úteis, confirmaremos o recebimento de sua denúncia.
• Na medida do possível, confirmaremos a existência da vulnerabilidade de segurança cibernética para você e seremos o mais transparentes possível sobre as medidas que estamos tomando durante o processo de correção, inclusive sobre problemas ou desafios que possam atrasar a resolução
• Manteremos um diálogo aberto para discutir as questões.
• Ao relatar um bug ou vulnerabilidade de segurança, você nos dá o direito de usar seu relatório para qualquer finalidade.

Perguntas

Perguntas relacionadas a esta política podem ser enviadas para security.vdr@ansell.com. Também o convidamos a entrar em contato conosco com sugestões para melhorar esta política.