Política de divulgação responsável

Na DFDS, levamos a segurança muito a sério. Este documento descreve os procedimentos de segurança e as políticas gerais para divulgar vulnerabilidades de segurança. Se você estiver considerando relatar uma vulnerabilidade para nós (a "Organização"), recomendamos que leia esta política de divulgação de vulnerabilidades por completo antes de fazê-lo.

Valorizamos todos que reservam um tempo e se esforçam para relatar vulnerabilidades de segurança de acordo com esta política, mas é importante observar que não oferecemos recompensas monetárias por divulgações de vulnerabilidades.

Se você acredita ter encontrado uma vulnerabilidade de segurança, envie seu relatório para o e-mail security@dfds.com.

Em seu relatório, inclua os seguintes detalhes:

• O site, repositório git, IP ou página onde a vulnerabilidade pode ser encontrada.

• Uma breve descrição do tipo de vulnerabilidade (por exemplo, "vulnerabilidade de XSS").

• Passos para reproduzir a divulgação.

Certifique-se de que seus testes sejam benignos, não destrutivos ou sirvam como prova de conceito.

Essas informações fazem com que o relatório possa ser analisado com rapidez e precisão.

Depois que você envia o relatório, respondemos em até 5 dias úteis e tentamos analisar seu relatório em até 15 dias úteis. Manteremos você informado sobre nosso progresso. A prioridade da correção será avaliada com base no impacto, gravidade e complexidade de exploração. Você pode consultar o status, mas faça isso não mais do que uma vez a cada 14 dias para que nossas equipes possam se concentrar na correção.

Notificaremos você quando a vulnerabilidade relatada for corrigida, e você poderá ser convidado a confirmar que a solução resolveu a vulnerabilidade de forma correta. Assim que a vulnerabilidade tiver sido resolvida, poderemos receber solicitações para divulgar seu relatório. Queremos unificar as orientações aos usuários afetados e pedimos que você continue coordenando conosco a divulgação ao público.

Você NÃO pode:

• Violar qualquer lei ou regulamento.

• Acessar quantidades de dados desnecessárias, excessivas ou significativas.

• Modificar dados nos sistemas ou serviços da organização.

• Usar ferramentas de varredura de alta intensidade, invasivas ou destrutivas para encontrar vulnerabilidades.

• Tentar ou relatar qualquer forma de negação de serviço, por exemplo, sobrecarregar um serviço com um alto volume de solicitações.

• Interromper os serviços ou sistemas da organização.