A Splashtop Inc., um fornecedor líder de software e serviços de acesso remoto, está empenhada em garantir a segurança e protecção dos nossos clientes. Para este fim, Splashtop está agora a formalizar a nossa política de aceitação de relatórios de vulnerabilidade nos nossos produtos. Esperamos promover uma parceria aberta com a comunidade de segurança, e reconhecemos que o trabalho que a comunidade faz é importante para continuar a garantir a segurança e a protecção de todos os nossos clientes.

Desenvolvemos esta política tanto para reflectir os nossos valores corporativos como para manter a nossa responsabilidade legal para com os investigadores de segurança de boa fé que nos estão a fornecer os seus conhecimentos.

Postura legal

A Splashtop Inc. não se envolverá em acções legais contra indivíduos que enviem relatórios de vulnerabilidade através do nosso Formulário de Relatório de Vulnerabilidade. Aceitamos abertamente relatórios para os produtos Splashtop actualmente listados. Concordamos em não prosseguir com acções legais contra indivíduos que:

  • Envolver-se em testes de sistemas/pesquisa sem prejudicar a Splashtop ou os seus clientes
  • Participar em testes de vulnerabilidade dentro do âmbito do nosso programa de divulgação de vulnerabilidades
  • Contacte imediatamente o Splashtop se encontrar inadvertidamente dados de utilizador. Não veja, altere, guarde, armazene, transfira, ou aceda aos dados, e purgue imediatamente qualquer informação local ao comunicar a vulnerabilidade ao Splashtop.
  • Aderir às leis da sua localização e à localização de Splashtop. Por exemplo, violar leis que apenas resultariam numa reclamação por Splashtop (e não numa reclamação criminal) pode ser aceitável, uma vez que Splashtop está a autorizar a actividade (engenharia inversa ou contornar medidas de protecção) para melhorar o seu sistema.
  • Abster-se de revelar ao público detalhes de vulnerabilidade antes de expirar um período de tempo mutuamente acordado

Preferência, Prioritização e Critérios de Aceitação

Utilizaremos os seguintes critérios para priorizar e triar as submissões.

O que gostaríamos de ver de si:

  • Relatórios bem redigidos em inglês terão uma maior probabilidade de resolução.
  • Os relatórios que incluem o código de prova de conceito equipam-nos para uma melhor triagem.
  • Os relatórios que incluem apenas as lixeiras ou outras ferramentas automatizadas podem receber menor prioridade.
  • Os relatórios que incluem produtos que não estão na lista inicial de âmbito podem receber menor prioridade.
  • Por favor inclua como encontrou o bug, o impacto, e qualquer potencial remediação.
  • Por favor informe-nos se gostaria de trabalhar connosco para revelar uma vulnerabilidade. Faremos um esforço honesto para trabalhar consigo na revelação de vulnerabilidades sempre que possível.

O que você pode esperar de nós:

  • Receberá feedback sobre o seu envio no prazo de 3 dias úteis após o envio ter sido triado.
  • Após a triagem, enviaremos uma linha temporal esperada, e comprometemo-nos a ser o mais transparentes possível sobre a linha temporal de remediação, bem como sobre questões ou desafios que a possam prolongar.
  • Um diálogo aberto para discutir questões.
  • Notificação quando a análise de vulnerabilidade tiver completado cada fase da nossa revisão.

Se não formos capazes de resolver problemas de comunicação ou outros problemas, Splashtop pode trazer um terceiro neutro (tal como CERT/CC, ICS-CERT, ou o regulador relevante) para ajudar a determinar a melhor forma de lidar com a vulnerabilidade.

Como Submeter uma Vulnerabilidade

Para submeter um relatório de vulnerabilidade à Equipa de Segurança de Produtos da Splashtop, por favor preencha as seguintes informações:

Este documento foi originalmente escrito em inglês e pode ter sido traduzido para diferentes línguas. Em caso de quaisquer conflitos entre a versão inglesa e a sua tradução, a versão inglesa deve sempre prevalecer.

Notas da Versão

Versão 1.1: Acrescentada renúncia de responsabilidade por conflitos entre a versão inglesa e as traduções (05/05/2021)

Versão 1.0: Criada a Política de Divulgação Responsável (05/12/2020)