Política de divulgação de informações
A Vingcard acredita que a divulgação de vulnerabilidades é essencial para melhorar a qualidade de nossos produtos e serviços, a segurança de nossos clientes que dependem deles e a conscientização sobre suas escolhas em relação à preservação de seus interesses específicos. A Vingcard valoriza informações provenientes da comunidade de pesquisa de segurança e agradece a divulgação e a colaboração com essa comunidade.
A Vingcard valoriza a visão e o compromisso de pesquisadores de segurança e outros investigadores de vulnerabilidades para tornar o mundo um lugar mais seguro, descobrindo vulnerabilidades de soluções de segurança e fornecendo mecanismos para relatá-las de forma privada com legitimidade e integridade.
A divulgação responsável garante que a infraestrutura de acesso de segurança seja testada e comprovadamente confiável. Além disso, o compromisso de mitigar vulnerabilidades é tranquilizador para os nossos clientes e para a indústria de segurança como um todo.
A seguir, apresentamos a política de divulgação responsável da Vingcard:
- A Vingcard divulgará vulnerabilidades conhecidas e suas correções a seus clientes de maneira que proteja a Vingcard e seus clientes. As divulgações feitas pela Vingcard incluirão crédito à pessoa que identificou a vulnerabilidade pela primeira vez, a menos que solicitado de outro modo pela pessoa que a relatou.
- A Vingcard está aberta à comunicação e ao trabalho com pesquisadores de segurança que vêm à Vingcard com um interesse compartilhado em melhorar a segurança e coordenar a distribuição de informações que incluem tanto a vulnerabilidade quanto a solução que a aborda.
- A Vingcard reconhecerá publicamente, em comunicado por escrito, o trabalho de um pesquisador de segurança que trouxer informações válidas sobre uma vulnerabilidade para a empresa de maneira privada e, em seguida, trabalhar com a Vingcard para coordenar o anúncio público após uma correção ou patch ter sido desenvolvido e totalmente testado dentro de um período de tempo razoável para ser eficaz e implantado pela Vingcard e seus clientes.
- Os pesquisadores de segurança podem publicar um link para o comuniado da Vingcard em seus próprios sites como reconhecimento por minimizar os riscos para o bem maior e ajudar os usuários finais a se protegerem.
Pedimos à comunidade de pesquisadores de segurança que trabalhe com a Vingcard para coordenar a divulgação pública de uma vulnerabilidade. A revelação prematura de uma vulnerabilidade publicamente sem antes notificar a Vingcard pode prejudicar as organizações, expondo informações confidenciais e colocando pessoas e organizações em perigo de ataques maliciosos.
É por isso que a Vingcard defende fortemente um processo de duas etapas: primeiro, a divulgação privada de uma potencial vulnerabilidade à Vingcard. Depois que a vulnerabilidade for validada, resolvida e a Vingcard e seus clientes tiverem tempo razoável para implementação, a Vingcard coordenará a divulgação pública, o que inclui o reconhecimento da descoberta pelo pesquisador de segurança, confirmando que o crédito seja dado à(s) pessoa(s) certa(s).
Pedimos também que os pesquisadores reconheçam que nossa ação para investigar, validar e corrigir vulnerabilidades relatadas varia em função da complexidade e gravidade. Comunicaremos os cronogramas esperados, as mudanças, e colaboraremos sempre que possível. Além disso, solicitamos que os pesquisadores não executem mecanismos de negação de serviço, não comprometam a infraestrutura do usuário da Vingcard ou as informações pessoais.
Como outras empresas líderes, a Vingcard aplica as práticas recomendadas do setor para a divulgação coordenada de vulnerabilidades a fim de proteger o ecossistema de segurança, garantir que os clientes obtenham informações da mais alta qualidade, e promover o debate público sobre maneiras de aprimorar produtos, protocolos, metodologias, padrões e soluções.
Chamada à ação
Se você acredita ter descoberto uma vulnerabilidade, clique no link "Diretrizes para envio de relatos" no menu deste Vingcard Center para obter instruções sobre como entrar em contato com a Equipe de Resposta de Segurança da Vingcard para relatar sua descoberta de maneira privada.