Política de Divulgação Responsável


A Dentsu Aegis Network (DAN) acredita que todos devem estar seguros e protegidos na Internet. A DAN se compromete a manter a segurança de nossos ativos e sistemas, e dos dados dos nossos clientes. Se qualquer vulnerabilidade em potencial for identificada em qualquer produto, sistema ou ativo que pertença à DAN, solicitamos aos pesquisadores de Segurança da Informação que entrem em contato conosco o mais rápido possível. Se você acredita ter identificado uma potencial vulnerabilidade de segurança, por favor encaminhe-a para nós de acordo com o nosso Programa de Divulgação Responsável .     


Desde já agradecemos pelo envio. A DAN não possui um programa de recompensa de bugs e não oferece nenhum tipo de recompensa ou remuneração em troca do relato de possíveis problemas. 


Diretrizes do Programa de Divulgação Responsável 

Os pesquisadores devem se certificar de que, quando num processo de divulgação de possíveis vulnerabilidades, eles não estão:

  • Envolvidos em alguma atividade que possa causar danos potenciais ou reais à DAN,  aos seus clientes ou aos seus funcionários.
  • Envolvidos em alguma atividade que possa prejudicar de maneira potencial ou efetiva os serviços ou ativos da DAN ou fazê-los parar de funcionar completamente.   
  • Envolvidos em alguma atividade que viole (a) leis ou regulações aplicáveis ​​ou (b) as leis ou regulações de qualquer país onde (i) dados, ativos ou sistemas estejam, (ii) o tráfego de dados seja roteado ou (iii) o pesquisador está realizando sua pesquisa. 
  •  Envolvidos em alguma atividade que faça com que a DAN viole quaisquer (a) leis ou regulações aplicáveis ​​ou (b) leis ou regulações de qualquer país onde  (i) dados, ativos ou sistemas estejam, (ii) o tráfego de dados seja roteado ou (iii) o pesquisador está realizando sua pesquisa. 
  • Armazenando, compartilhando, comprometendo ou destruindo quaisquer dados dos clientes ou da DAN. Se algum dado pessoal for identificado, você deve interromper a pesquisa imediatamente, apagar tais dados do seu sistema e entrar em contato com a DAN de imediato. Isso é muito importante para proteger qualquer dado potencialmente vulnerável e você.
  • Iniciando uma transação financeira fraudulenta. 
  • Divulgando algum problema relatado para terceiros nem publicando esses problemas de forma pública.

 

Ao agir de acordo com as diretrizes acima e nos enviar suas descobertas de modo responsável, a DAN concorda em não mover ações judiciais contra você, a menos que seja obrigada a fazê-lo por uma autoridade reguladora, algum outro terceiro, ou devido à legislação aplicável. 

Assim que um relato é enviado, a DAN se compromete a comunicar o recebimento de todos os relatos imediatamente (ou até no máximo de 5 dias úteis após o envio). Sempre que possível, a DAN irá se empenhar ao máximo para mantê-lo informado sobre o status de qualquer vulnerabilidade validada que você tenha informado através deste programa.  

 

Formato para envio

Ao relatar uma vulnerabilidade em potencial, inclua um resumo detalhado da vulnerabilidade. Você deve incluir:  

  • O alvo  
  • Os passos 
  • As ferramentas 
  • Os artefatos  
  • Você pode incluir imagens da tela para descrever os detalhes.    

 

Vulnerabilidades fora do escopo 

Consideramos que certas vulnerabilidades estão fora do escopo do nosso Programa de Divulgação Responsável. As vulnerabilidades fora do escopo incluem, entre outras:  

  • Testes físicos das instalações;
  • Engenharia social. Por exemplo, tentativas de roubar cookies, páginas de login falsas para coletar credenciais;
  • Phishing;
  • Ataques de negação de serviço;
  • Ataques de exaustão de recursos. 

 

Envie seu relato para:  ResponsibleDisclosure@Dentsuaegis.com