A equipe de segurança da Segura® Platform, chamada SEGI9, procura por vulnerabilidades de segurança e responde proativamente àquelas que são relatadas nos produtos Segura® e nos seus componentes.
Essa equipe trabalha com membros da comunidade, como empresas de segurança, auditorias externas de segurança, equipes externas de segurança de clientes e usuários finais.
A Segura® Platform está comprometida em abordar rapidamente as vulnerabilidades que afetam nossos clientes, e fornecer orientações claras sobre a solução, impacto, gravidade e mitigação dessas vulnerabilidades.
Como relatar uma possível vulnerabilidade de segurança
Se você encontrou alguma possível vulnerabilidade de segurança em um produto Segura®, entre em contato com a equipe do SEGI9, através do e-mail [email protected]. É muito importante incluir os seguintes detalhes:
- Os produtos afetados e suas versões.
- Data da última atualização.
- Descrição detalhada da vulnerabilidade.
- Informações sobre como explorar o problema relatado.
As informações de vulnerabilidade são extremamente confidenciais. Recomendamos enfaticamente que você criptografe todos os relatórios de vulnerabilidade de segurança, utilizando a chave PGP da Segura® CVE abaixo:
CVE Segura® PGP key
ssh-rsa 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 [email protected]
Publicação de informações de segurança
A Segura® Platform publica informação de segurança no Centro de Segurança do produto Segura®.
Avisos de segurança
Forneça informações sobre vulnerabilidades de segurança identificadas nos produtos Segura®, incluindo quaisquer correções, soluções alternativas ou outras ações.
Processo de tratamento de vulnerabilidades
As vulnerabilidades de segurança nos produtos Segura® são gerenciadas ativamente por um processo bem definido. O tempo de resposta varia conforme o escopo do problema. O processo consiste em quatro etapas principais: relatório, avaliação, solução e comunicação. Cada etapa é descrita a seguir:
Relatório
O processo começa quando a equipe do SEGi9 toma conhecimento de uma potencial vulnerabilidade de segurança nos produtos Segura®. O relator recebe uma confirmação e é atualizado no decorrer do processo.
Avaliação
A equipe do SEGi9 confirma a potencial vulnerabilidade potencial, avalia o risco, determina o impacto e atribui uma prioridade. Caso a vulnerabilidade seja total ou parcialmente confirmada na versão estável, um esquadrão técnico especial é criado para analisar e corrigir o problema. Este esquadrão é polivalente, e composto por desenvolvedores, analistas de segurança, analistas de produto e analistas de qualidade.
Solução
Depois que o problema for corrigido, o patch de segurança será inserido na versão instável e entregue à equipe de qualidade para que a modificação seja testada e aprovada. Nos casos de vulnerabilidade com alto risco, a Segura® Platform entregará um patch diretamente para todas as versões do Segura®.
Comunicação
A Segura® Platform publica um aviso de segurança para problemas graves. Casos menos graves são comunicados por outros métodos. Os avisos são postados na Central de Segurança do Produto Segura®, e divulgados simultaneamente para todos os clientes.
Programa de Bug Bounty
Nosso Programa de Bug Bounty é projetado para incentivar pesquisadores de segurança, hackers éticos e especialistas em tecnologia de todo o mundo a colaborarem na melhoria contínua da segurança de nossos produtos e serviços. Valorizamos a segurança de nossos usuários e acreditamos que a comunidade global desempenha um papel crucial na identificação de vulnerabilidades que podem comprometer a integridade de nossos sistemas.
Convidamos você, como pesquisador, a nos ajudar a encontrar vulnerabilidades de segurança em nossos sites, aplicações e soluções de segurança. Em contrapartida, oferecemos recompensas financeiras baseadas na gravidade e no impacto da vulnerabilidade relatada.
Como funciona
- Vulnerabilidade Potencial: Submeta uma vulnerabilidade potencial seguindo as diretrizes em “Reportando uma Potencial Vulnerabilidade de Segurança”.
- Análise pela Nossa Equipe de Segurança: Nossa equipe de segurança analisará cuidadosamente cada submissão. Se o problema for validado e considerado fora do conhecimento interno, ele se qualificará para uma recompensa.
- Recompensas Baseadas na Gravidade: O relator será recompensado de acordo com a classificação de gravidade da vulnerabilidade descoberta.
Definição de escopo
O escopo deste Programa de Bug Bounty é limitado a vulnerabilidades técnicas de segurança que resultem em impacto direto e comprovável em pelo menos um dos princípios de segurança abaixo:
- Confidencialidade – acesso não autorizado a dados sensíveis, credenciais, segredos ou informações protegidas.
- Integridade – modificação, corrupção ou manipulação não autorizada de dados, configurações ou do comportamento do sistema.
- Disponibilidade – interrupção, degradação ou negação de acesso a sistemas, serviços ou funcionalidades.
Somente vulnerabilidades que afetem de forma clara um ou mais desses princípios são consideradas dentro do escopo e elegíveis para recompensa.
Fora do escopo
Qualquer achado que não demonstre impacto direto, reproduzível e explorável em Confidencialidade, Integridade ou Disponibilidade será considerado fora do escopo.
Isso inclui, entre outros casos:
- configurações de segurança ausentes;
- recomendações de hardening;
- lacunas de boas práticas que não possam ser transformadas em uma exploração funcional.
Achados baseados apenas em resultados de scanners automatizados, caminhos teóricos de ataque ou condições improváveis, sem uma prova de conceito clara e demonstrável, não serão aceitos.
Uma vulnerabilidade só será considerada válida quando puder ser demonstrado que causa dano real a um usuário, sistema ou conjunto de dados em condições realistas. Se um achado depender de uma cadeia irrealista de suposições, impacto desprezível ou não puder ser reproduzido de forma confiável, ele não se qualificará para recompensa, independentemente de sua precisão técnica.
Exemplos fora do escopo
Os tipos de achado a seguir não são elegíveis, a menos que venham acompanhados de uma prova de conceito funcional demonstrando impacto real em Confidencialidade, Integridade ou Disponibilidade:
- Ausência de boas práticas de segurança – inclui ausência de cabeçalhos (por exemplo, CSP ou HSTS), configurações fracas de
SSL/TLSou ausência de atributos de cookie, sem exploração comprovada. - Questões informativas ou teóricas – achados sem cenário de ataque claro, prático ou com impacto real.
- Achados automatizados ou de baixo valor – relatórios gerados apenas por scanners, divulgação de versão ou banner, ou arquivos expostos sem dados sensíveis e sem caminho explorável.
- Enumeração e ausência de limitação de taxa – exceto quando levarem diretamente a um ataque comprovado de credenciais ou tomada de conta.
- Exigência de interação irrealista do usuário – problemas que dependam de comportamento improvável do usuário, negligência excessiva ou cenários irreais sem um caminho prático de exploração.
- Testes disruptivos de negação de serviço – relatórios baseados em técnicas de
DoSque exijam interrupção do serviço ou impactem negativamente a disponibilidade sem uma prova segura e reproduzível do impacto.
Classificação e Recompensas
Severidade Baixa
- Descrição: Vulnerabilidades com impacto limitado, afetando apenas alguns usuários ou exigindo condições específicas para serem exploradas. Esses defeitos tipicamente não comprometem diretamente a segurança, mas podem representar pequenos riscos ou inconveniências para os usuários.
- Recompensa: U$ 100,00
Severidade Média
- Descrição: Essas vulnerabilidades podem ser exploradas sob certas condições e impactam a confidencialidade, integridade ou disponibilidade de maneira mais significativa, mas não levam ao comprometimento total do sistema ou de dados críticos.
- Recompensa: U$ 250,00
Severidade Alta
- Descrição: Essas vulnerabilidades representam um risco crítico para o sistema e seus usuários, pois podem resultar em controle completo sobre sistemas, roubo de dados sensíveis ou interrupção severa de serviços.
- Recompensa: U$ 500,00
Termos e Condições
- Os participantes devem cumprir as leis locais e internacionais.
- O uso de técnicas de exploração que interrompam serviços ou prejudiquem usuários é proibido.
- Qualquer ação que viole nossos termos de uso pode desqualificar o participante do programa.
Todos os testes de segurança ou avaliações de vulnerabilidade do software da Segura Solution só poderão ser realizados mediante autorização e convite explícitos da Segura® Platform, desde que a parte responsável por essas atividades concorde em cumprir integralmente e respeitar todos os Termos de Uso aplicáveis da Segura®.
Qualquer teste, sondagem ou varredura não autorizados de produtos, sistemas ou serviços da Segura® Platform é estritamente proibido e poderá resultar em medidas legais. Esta política protege a segurança, a estabilidade e a privacidade dos ambientes de nossos clientes e preserva a integridade de nossos produtos.
Estamos comprometidos em trabalhar junto com a comunidade de segurança para garantir que nossas soluções proporcionem o mais alto nível de proteção para nossos clientes e usuários em todo o mundo. Juntos, podemos construir um ambiente digital mais seguro. Para mais informações, consulte: EULA - Contrato de Licença do Utilizador Final da Segura®