Suporte de Segurança

Brother PSIRT Política de divulgação de vulnerabilidades

 

 

Esta política descreve como clientes e pesquisadores de segurança relatam vulnerabilidades à Brother (“Brother”, “nós”, “nos” ou “nosso”) e ao nosso suporte.

Alcance do Relatório de vulnerabilidade

A vulnerabilidade relacionada com os nossos produtos, software e serviços na nuvem estão sujeitas a relatórios de vulnerabilidade de acordo com esta Política.

Não aceitamos relatórios para o seguinte:

• Produtos sem suporte (versões de teste, produtos no fim da vida útil de suporte)
• Vulnerabilidades não reproduzíveis
• Vulnerabilidades divulgadas
• Vulnerabilidades não exploráveis
• Sobrecarga/Negação do serviço de Vulnerabilidades(por ex., simplesmente sobrecarregar o nosso serviço com um grande volume de solicitações)
• Debilidades na configuração do TLS (por exemplo, suporte "insuficiente" ao conjunto de criptografia ou disponibilidade de suporte ao TLS 1.0, sweet32, BEAST, etc.)
• Ataques de engenharia social
• Bugs de segurança em sites de terceiros com integração dos Produtos
• Relatórios indicando que os Produtos não estão totalmente alinhados com as "práticas recomendadas", como por ex. a falta de cabeçalhos de segurança

Reportar uma vulnerabilidade

Use o formulário de relatório disponível no nosso site, no link abaixo, para relatar vulnerabilidades relacionadas com os nossos produtos, software e serviços na nuvem.
Reportar uma possível vulnerabilidade de segurança ao Brother PSIRT (somente em inglês)

Para fazer a triagem e priorizar o seu relatório, forneça as seguintes informações:

• Nome do produto, versão do software e funcionalidade/protocolo de rede onde as vulnerabilidades foram descobertas
• Impacto potencial se as vulnerabilidades forem exploradas
• Uma descrição detalhada das etapas para reproduzir a vulnerabilidade

A Brother PSIRT é o ponto de contato para dúvidas sobre vulnerabilidades de produtos. Por favor tome nota pois podemos não conseguir responder a perguntas que não estejam relacionadas com vulnerabilidades.
Em relação a dúvidas não relacionadas com vulnerabilidades, entre em contato com o Call Center local da Brother ou com o revendedor onde adquiriu o produto. Por favor, consulte o nossos site Brother’s website para informações de contato.

Não pretendemos tomar medidas legais contra investigadores de segurança que tentem verificar falhas ou vulnerabilidades de segurança nos nossos produtos, software ou serviços na nuvem, desde que as seguintes condições sejam cumpridas:

• Os testes ou investigação são conduzidos de boa-fé com o único propósito de identificar falhas ou vulnerabilidades de segurança, com o cuidado de evitar causar qualquer dano a indivíduos ou a nós
• Qualquer informação derivada de tais atividades é utilizada principalmente para melhorar a segurança dos nossos produtos ou dos seus utilizadores

No entanto, mesmo que o objetivo de tais atividades seja verificar falhas ou vulnerabilidades de segurança, são proibidas as seguintes atividades:

• Qualquer verificação equivalente a ataques DoS ou DDoS, ou quaisquer outras atividades que interrompam o acesso ou danifiquem sistemas ou dados
• Testes físicos, como entrada não autorizada nos nossos escritórios ou instalações, tailgating, engenharia social ou qualquer outro teste de vulnerabilidade não técnico
• Tentativas de aceder ou alterar contas ou informações que não sejam as suas

A nossa resposta após receber um relatório

Acusaremos o recebimento do relatório no prazo de 7 dias após recebermos um relatório sobre uma vulnerabilidade dos nossos produtos, software ou serviços na nuvem. Em alguns casos, um representante comercial da Brother na sua região poderá contactá-lo a respeito do relatório. Para facilitar esta comunicação, poderemos partilhar as informações pessoais que forneceu no contacto para relatórios de vulnerabilidades da Brother PSIR com a área comercial da Brother. Por favor, veja a nossa politica de privacidade para obter informações sobre como lidamos com informações pessoais.

As informações que reportar serão geridas pela Brother PSIRT, que investigará o problema em cooperação com o nosso departamento de desenvolvimento. Assim que confirmarmos se a vulnerabilidade existe no nosso produto, voltaremos a contactá-lo através do endereço de e-mail fornecido.

Se a vulnerabilidade reportada for confirmada como um novo problema que afete os nossos produtos, software ou serviços de cloud, os departamentos relevantes determinarão de forma abrangente a política e o calendário de resposta e tomarão as medidas adequadas.

Quando a vulnerabilidade reportada for resolvida, coordenaremos com o autor da denúncia e com as partes relevantes de forma a definir uma data para a publicação de um comunicado de segurança, garantindo que os nossos clientes possam tomar as medidas apropriadas. Assim que concluirmos a preparação para divulgação pública, publicaremos o comunicado de segurança no nosso website.

Relatórios Bugs

Não oferecemos um programa pago de recompensas por bugs, independentemente do conteúdo do relatório.