A equipe de segurança do Segura®, chamada SEGI9, procura por vulnerabilidades de segurança e responde proativamente àquelas que são relatadas nos produtos Segura® e nos seus componentes.
Essa equipe trabalha com membros da comunidade, como empresas de segurança, auditorias externas de segurança, equipes externas de segurança de clientes e usuários finais.
O Segura® está comprometido em abordar rapidamente as vulnerabilidades que afetam nossos clientes, e fornecer orientações claras sobre a solução, impacto, gravidade e mitigação dessas vulnerabilidades.
Como relatar uma possível vulnerabilidade de segurança
Se você encontrou alguma possível vulnerabilidade de segurança em um produto Segura®, entre em contato com a equipe do SEGI9, através do e-mail [email protected]. É muito importante incluir os seguintes detalhes:
- Os produtos afetados e suas versões.
- Data da última atualização.
- Descrição detalhada da vulnerabilidade.
- Informações sobre como explorar o problema relatado.
As informações de vulnerabilidade são extremamente confidenciais. Recomendamos enfaticamente que você criptografe todos os relatórios de vulnerabilidade de segurança, utilizando a chave PGP do Segura® CVE abaixo:
CVE Segura® PGP key
ssh-rsa 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 [email protected]
Publicação de informações de segurança
O Segura® publica informação de segurança no Centro de Segurança do produto Segura®.
Avisos de segurança
Forneça informações sobre vulnerabilidades de segurança identificadas nos produtos Segura®, incluindo quaisquer correções, soluções alternativas ou outras ações.
Processo de tratamento de vulnerabilidades
As vulnerabilidades de segurança nos produtos Segura® são gerenciadas ativamente por um processo bem definido. O tempo de resposta varia conforme o escopo do problema. O processo consiste em quatro etapas principais: relatório, avaliação, solução e comunicação. Cada etapa é descrita a seguir:
Relatório
O processo começa quando a equipe do SEGi9 toma conhecimento de uma potencial vulnerabilidade de segurança nos produtos Segura®. O relator recebe uma confirmação e é atualizado no decorrer do processo.
Avaliação
A equipe do SEGi9 confirma a potencial vulnerabilidade potencial, avalia o risco, determina o impacto e atribui uma prioridade. Caso a vulnerabilidade seja total ou parcialmente confirmada na versão estável, um esquadrão técnico especial é criado para analisar e corrigir o problema. Este esquadrão é polivalente, e composto por desenvolvedores, analistas de segurança, analistas de produto e analistas de qualidade.
Solução
Depois que o problema for corrigido, o patch de segurança será inserido na versão instável e entregue à equipe de qualidade para que a modificação seja testada e aprovada. Nos casos de vulnerabilidade com alto risco, o Segura® entregará um patch diretamente para todas as versões do Segura®.
Comunicação
O Segura® publica um aviso de segurança para problemas graves. Casos menos graves são comunicados por outros métodos. Os avisos são postados na Central de Segurança do Produto Segura®, e divulgados simultaneamente para todos os clientes.
Programa de Bug Bounty
Nosso Programa de Bug Bounty é projetado para incentivar pesquisadores de segurança, hackers éticos e especialistas em tecnologia de todo o mundo a colaborarem na melhoria contínua da segurança de nossos produtos e serviços. Valorizamos a segurança de nossos usuários e acreditamos que a comunidade global desempenha um papel crucial na identificação de vulnerabilidades que podem comprometer a integridade de nossos sistemas.
Convidamos você, como pesquisador, a nos ajudar a encontrar vulnerabilidades de segurança em nossos sites, aplicações e soluções de segurança. Em contrapartida, oferecemos recompensas financeiras baseadas na gravidade e no impacto da vulnerabilidade relatada.
Como funciona
- Vulnerabilidade Potencial: Submeta uma vulnerabilidade potencial seguindo as diretrizes em “Reportando uma Potencial Vulnerabilidade de Segurança”.
- Análise pela Nossa Equipe de Segurança: Nossa equipe de segurança analisará cuidadosamente cada submissão. Se o problema for validado e considerado fora do conhecimento interno, ele se qualificará para uma recompensa.
- Recompensas Baseadas na Gravidade: O relator será recompensado de acordo com a classificação de gravidade da vulnerabilidade descoberta.
Classificação e Recompensas
Severidade Baixa
- Descrição: Vulnerabilidades com impacto limitado, afetando apenas alguns usuários ou exigindo condições específicas para serem exploradas. Esses defeitos tipicamente não comprometem diretamente a segurança, mas podem representar pequenos riscos ou inconveniências para os usuários.
- Recompensa: U$ 100,00
Severidade Média
- Descrição: Essas vulnerabilidades podem ser exploradas sob certas condições e impactam a confidencialidade, integridade ou disponibilidade de maneira mais significativa, mas não levam ao comprometimento total do sistema ou de dados críticos.
- Recompensa: U$ 250,00
Severidade Alta
- Descrição: Essas vulnerabilidades representam um risco crítico para o sistema e seus usuários, pois podem resultar em controle completo sobre sistemas, roubo de dados sensíveis ou interrupção severa de serviços.
- Recompensa: U$ 500,00
Termos e Condições
- Os participantes devem cumprir as leis locais e internacionais.
- O uso de técnicas de exploração que interrompam serviços ou prejudiquem usuários é proibido.
- Qualquer ação que viole nossos termos de uso pode desqualificar o participante do programa.
Todos os testes de segurança ou avaliações de vulnerabilidade do software da Segura Solution só poderão ser realizados mediante autorização e convite explícitos da Segura. Qualquer teste, sondagem ou varredura não autorizados de produtos, sistemas ou serviços da Segura é estritamente proibido e poderá resultar em medidas legais. Esta política protege a segurança, a estabilidade e a privacidade dos ambientes de nossos clientes e preserva a integridade de nossos produtos.
Estamos comprometidos em trabalhar junto com a comunidade de segurança para garantir que nossas soluções proporcionem o mais alto nível de proteção para nossos clientes e usuários em todo o mundo. Juntos, podemos construir um ambiente digital mais seguro.