Esta política para divulgação responsável de vulnerabilidades tem por objetivo definir a metodologia de cooperação entre a comunidade infosec e a NOS Comunicações S.A.
A NOS Comunicações S.A. providencia um canal adequado para identificação e divulgação, de forma ética e responsável, das vulnerabilidades de segurança.
O âmbito da política aqui definida aplica-se a vulnerabilidades identificadas em plataformas de serviços da NOS Comunicações S.A. e nos servidores que suportam o seu funcionamento.
A presente política não constitui e não é representativa de um programa para bug bounty.
Metodologia para Divulgação Responsável de Vulnerabilidades:
Em caso de identificação de uma vulnerabilidade, deverá contactar a NOS Comunicações S.A. através do endereço de correio eletrónico:
sec.rvd@nos.pt.
Por forma a garantir confidencialidade da informação, a mensagem deverá ser cifrada utilizando para o efeito a seguinte chave PGP:
https://www.nos.pt/well-known/sec.rvd_nos-pgp.txt.
Perímetro de Análise:
1. Limitado a plataformas de serviço da NOS Comunicações S.A.
2. A política
não constitui e
não é representativa de um programa para
bug bounty
Solicitamos á comunidade que:
1.
Não utilize a informação obtida de forma abusiva e que possa comprometer, nomeadamente, a disponibilidade e confidencialidade da informação e a integridade da plataforma;
2. Que
não divulgue as vulnerabilidades identificadas até que as mesmas
estejam corrigidas e que seja dado
consentimento pela NOS Comunicações S.A.;
3. Assegure a
privacidade dos utilizadores;
4. Assegure uma atuação cooperante, responsável e no cumprimento da lei.
Exclusões ao âmbito da presente política:
- Exploração de vulnerabilidades ou utilização de técnicas que possam conduzir à degradação ou negação de serviço (DoS/DDoS);
- Utilização de meios e recursos desproporcionais e desadequados para a comprovação de vulnerabilidades identificadas;
- Utilização de técnicas de engenharia social, spam ou phishing ou qualquer tipo de exploração de recursos humanos;
- Aproveitamento das vulnerabilidades ou erros identificados para acesso a dados para além do estritamente necessário para a sua comprovação;
- Apagamento ou modificação de dados.
- Temas relacionados com recomendações de segurança que são de conhecimento público, tais como:
- Erros relacionados com páginas ou códigos HTTP comuns
- Spoofing de conteúdo relacionado com páginas HTTP ou host header injection
- Disclosure de informação através de banners em serviços públicos comuns
- Ficheiros publicamente conhecidos ou diretorias com informação não sensível (ex.: robots.txt)
- Não existência de HTTP security headers (ex.: Strict-Transport-Security;X-Frame-Options;X-XSS-Protection;X-Content-Type-Options;Content-Security-Policy)
- Configurações SSL (SSL forward secrecy not enabled;Weak ou insecure cipher suites)
- Configurações SPF, DKIM e DMARC
- Versões de software desatualizadas sem existência de vulnerabilidade comprovada
O que podem esperar da NOS Comunicações S.A.:
1.
Resposta no prazo máximo de
sete dias com a avaliação da vulnerabilidade reportada e a estimativa temporal de correção;
2. Em cumprimento com as regras e procedimentos descritos na presente política,
não será efetuada participação criminal por factos relacionados com a descoberta da vulnerabilidade reportada;
3. A NOS Comunicações S.A. não irá fornecer informação a terceiros, sem autorização, salvo se decorrente de obrigação legal;
4.
Reconhecimento do nome/alcunha do utilizador que identificou a vulnerabilidade e a identificação sumária da mesma;
5. No âmbito da presente política para Divulgação Responsável de Vulnerabilidades e na aceção do regime legal aplicável, os
dados pessoais do utilizador serão de imediato apagados mal cesse o motivo pelo qual foram tratados. Qualquer questão sobre matéria de tratamento ou acesso a dados pessoais deve ser dirigida a
dpo.privacidade@nos.pt