Política de Divulgação Coordenada de Vulnerabilidades

Dedicada a fornecer soluções inovadoras e robustas no setor de telecomunicações, a V-SOL tem a segurança de seus clientes como uma prioridade.
Com esse compromisso, implementamos esta política para receber relatórios de vulnerabilidades em nossos produtos, promovendo uma colaboração transparente com a comunidade de segurança e garantindo a proteção contínua de nossos clientes.
A Política de Divulgação Coordenada de Vulnerabilidades define as diretrizes para que pesquisadores de segurança possam identificar e reportar, de maneira responsável, vulnerabilidades potenciais nos produtos desenvolvidos pela V-SOL.

ESCOPO INICIAL

O processo de Divulgação Coordenada de Vulnerabilidades da V-SOL cobre os seguintes produtos CPE (Equipamentos de Premissa do Cliente):

A-) ONU;
B-) ONT;
C-) ROTEADORES;
D-) OLT;
E-) MÓDULOS;

REGRAS, CRITÉRIOS DE ACEITE E PRIORIZAÇÃO

As vulnerabilidades reportadas passarão por uma análise criteriosa da V-SOL, onde serão avaliados aspectos como prioridade e aceitação com base nos pontos abaixo:

• O relatório deve estar escrito de forma clara e em português ou inglês;
• Deve incluir provas de conceito que facilitem a validação, contendo detalhes sobre o bug, seu impacto e sugestões de correção;
• A vulnerabilidade deve estar dentro do escopo dos produtos mencionados acima, sendo que relatórios fora deste escopo terão menor prioridade;
• Relatórios que contenham apenas erros ou saídas de ferramentas automatizadas terão prioridade reduzida;
• O pesquisador deve indicar quaisquer planos ou intenções de divulgação pública da vulnerabilidade;
• Colaboradores da V-SOL ou pessoas que trabalharam na empresa nos últimos 12 meses não podem submeter relatórios;
• O pesquisador deve evitar o uso indevido de dados sensíveis ou pessoais e conduzir seus testes de maneira a não prejudicar os usuários.

O QUE VOCÊ PODE ESPERAR DE NÓS:

• Resposta dentro de até 7 dias úteis após o recebimento do relatório;
• Após a triagem, informaremos o prazo esperado para correção e, se houver desafios, seremos transparentes;
• Mantemos um diálogo aberto sobre a vulnerabilidade relatada;
• Notificação quando a vulnerabilidade for confirmada pela nossa equipe de segurança;

POSTURA LEGAL

A V-SOL não buscará ações legais contra quem relatar vulnerabilidades por meio do nosso CSIRT, desde que o envio esteja em conformidade com os requisitos desta política e os seguintes critérios:

Realizar testes de segurança sem causar danos à V-SOL ou seus clientes;
Efetuar testes dentro dos limites definidos por nossa Política de Divulgação de Vulnerabilidades;
Obter autorização do cliente antes de testar produtos ou sistemas específicos;
Cumprir com as leis do Brasil e do país de origem do pesquisador;
Manter a confidencialidade da vulnerabilidade por pelo menos 90 dias ou até que um prazo acordado expire.

A participação no processo de Divulgação Coordenada de Vulnerabilidades V-SOL não concede direitos de propriedade intelectual sobre os produtos ou serviços da V-SOL. Todos os direitos de propriedade intelectual pertencem exclusivamente à V-SOL ou seus parceiros, sendo proibido copiar, reproduzir, transmitir, vender, licenciar ou explorar para qualquer outra finalidade.

COMO RELATAR UMA VULNERABILIDADE 

Para reportar uma vulnerabilidade em um produto V-Sol, preencha o formulário específico para resposta a incidentes de segurança da informação disponível na página: