Esta política para divulgação responsável de vulnerabilidades tem por objetivo definir a metodologia de cooperação entre a comunidade infosec e a NOS Comunicações S.A.

A NOS Comunicações S.A. providencia um canal adequado para identificação e divulgação, de forma ética e responsável, das vulnerabilidades de segurança.

O âmbito da política aqui definida aplica-se a vulnerabilidades identificadas em plataformas de serviços da NOS Comunicações S.A. e nos servidores que suportam o seu funcionamento.

A presente política não constitui e não é representativa de um programa para bug bounty.

Metodologia para Divulgação Responsável de Vulnerabilidades:

Em caso de identificação de uma vulnerabilidade, deverá contactar a NOS Comunicações S.A. através do endereço de correio eletrónico: sec.rvd@nos.pt.

Por forma a garantir confidencialidade da informação, a mensagem deverá ser cifrada utilizando para o efeito a seguinte chave PGP: https://www.nos.pt/well-known/sec.rvd_nos-pgp.txt.


Perímetro de Análise:

1. Limitado a plataformas de serviço da NOS Comunicações S.A.
2. A política não constitui e não é representativa de um programa para bug bounty


Solicitamos á comunidade que:

1. Não utilize a informação obtida de forma abusiva e que possa comprometer, nomeadamente, a disponibilidade e confidencialidade da informação e a integridade da plataforma;
2. Que não divulgue as vulnerabilidades identificadas até que as mesmas estejam corrigidas e que seja dado consentimento pela NOS Comunicações S.A.;
3. Assegure a privacidade dos utilizadores;
4. Assegure uma atuação cooperante, responsável e no cumprimento da lei.


Exclusões ao âmbito da presente política:

1. Exploração de vulnerabilidades ou utilização de técnicas que possam conduzir à degradação ou negação de serviço (DoS/DDoS);
   
2. Utilização de meios e recursos desproporcionais e desadequados para a comprovação de vulnerabilidades identificadas;
3. Utilização de técnicas de engenharia social, spam ou phishing ou qualquer tipo de exploração de recursos humanos;
   
4. Aproveitamento das vulnerabilidades ou erros identificados para acesso a dados para além do estritamente necessário para a sua comprovação;
   
5. Apagamento ou modificação de dados.
   
6. Temas relacionados com recomendações de segurança que são de conhecimento público, tais como:
   1. Erros relacionados com páginas ou códigos HTTP comuns
   2. Spoofing de conteúdo relacionado com páginas HTTP ou host header injection
   3. Disclosure de informação através de banners em serviços públicos comuns
   4. Ficheiros publicamente conhecidos ou diretorias com informação não sensível (ex.: robots.txt)
   5. Não existência de HTTP security headers (ex.: Strict-Transport-Security;X-Frame-Options;X-XSS-Protection;X-Content-Type-Options;Content-Security-Policy)
   6. Configurações SSL (SSL forward secrecy not enabled;Weak ou insecure cipher suites)
   7. Configurações SPF, DKIM e DMARC
   8. Versões de software desatualizadas sem existência de vulnerabilidade comprovada

O que podem esperar da NOS Comunicações S.A.:

1. Resposta no prazo máximo de sete dias com a avaliação da vulnerabilidade reportada e a estimativa temporal de correção;
2. Em cumprimento com as regras e procedimentos descritos na presente política, não será efetuada participação criminal por factos relacionados com a descoberta da vulnerabilidade reportada;
3. A NOS Comunicações S.A. não irá fornecer informação a terceiros, sem autorização, salvo se decorrente de obrigação legal;
4. Reconhecimento do nome/alcunha do utilizador que identificou a vulnerabilidade e a identificação sumária da mesma;
5. No âmbito da presente política para Divulgação Responsável de Vulnerabilidades e na aceção do regime legal aplicável, os dados pessoais do utilizador serão de imediato apagados mal cesse o motivo pelo qual foram tratados. Qualquer questão sobre matéria de tratamento ou acesso a dados pessoais deve ser dirigida a dpo.privacidade@nos.pt