Selecionar país e idioma

Política de divulgação de vulnerabilidades

A BORA Vertriebs GmbH & Co KG esforça-se sempre por fornecer aos clientes produtos/serviços da mais alta qualidade e fiabilidade. Para atingir este objetivo, analisamos todos os problemas de segurança comunicados e identificados por peritos externos, parceiros ou clientes.

 

A política que se segue aplica-se a todas as vulnerabilidades de segurança que nos queira comunicar. Recomendamos que leia esta política na íntegra e que atue em conformidade com as suas disposições. Isto garante que as vulnerabilidades de segurança são corretamente identificadas como tal e devidamente tratadas. A BORA Vertriebs GmbH & Co KG agradece o tempo e o esforço envolvidos na comunicação de vulnerabilidades de segurança. No entanto, gostaríamos de salientar que a BORA Vertriebs GmbH & Co KG não oferece uma compensação monetária pela comunicação de vulnerabilidades de segurança.

 

Se acredita ter encontrado uma vulnerabilidade de segurança, envie-nos o seu relatório através do seguinte link abaixo ou através de E-Mail com as seguintes informações:

 

  • URL ou IP onde existe a vulnerabilidade;
  • uma breve descrição do tipo de vulnerabilidade (por exemplo: “vulnerabilidade XSS");
  • Passos para a reprodução. Esta deve ser uma prova de conceito bem-intencionada e não destrutiva. Isto ajuda a garantir que o relatório possa ser processado de forma rápida e exata. Reduz também a probabilidade de mensagens duplicadas ou de exploração maliciosa de algumas vulnerabilidades, como a apropriação de subdomínios.

 

Após a apresentação do seu relatório, começaremos a analisar e a retificar a vulnerabilidade/falha de segurança comunicada. Esforçamo-nos por responder à sua denúncia no prazo de 10 dias úteis e por a processar no prazo de 14 dias úteis. Também o manteremos informado sobre os nossos progressos. A prioridade das medidas corretivas é avaliada com base no impacto, na gravidade e na complexidade da vulnerabilidade. Como sinal do nosso apreço, listaremos os descobridores na nossa página de agradecimento após a sua aprovação.

Diretivas

Não pode:

  • violar as leis ou regulamentos aplicáveis;
  • aceder a quantidades desnecessárias, excessivas ou significativas de dados;
  • alterar dados nos sistemas ou serviços da organização;
  • utilizar ferramentas de análise invasivas ou destrutivas de alta intensidade para encontrar vulnerabilidades;
  • levar a cabo tentativas ou mensagens de qualquer tipo para recusar o serviço, por exemplo, sobrecarregar um serviço com um grande número de pedidos;
  • perturbar os serviços ou sistemas da organização;
  • apresentar relatórios que indiquem vulnerabilidades não exploráveis ou relatórios que indiquem que os serviços não estão totalmente em conformidade com as melhores práticas, por exemplo, cabeçalhos de segurança em falta;
  • enviar relatórios sobre vulnerabilidades na configuração do TLS, por exemplo, suporte de um conjunto de cifras “fraco” ou a presença de suporte a TLS1.0;
  • partilhar vulnerabilidades ou pormenores relacionados de formas diferentes das descritas nas em security.txt;
  • efetuar engenharia social, “phishing” ou ataques físicos ao pessoal ou às infraestruturas da organização;
  • exigir uma compensação financeira pela divulgação de vulnerabilidades.

 

Deverá:

  • cumprir sempre os regulamentos de proteção de dados e não violar a privacidade dos utilizadores, empregados, contratantes, serviços ou sistemas da organização. Por exemplo, o utilizador pode não transmitir ou redistribuir os dados obtidos a partir dos sistemas ou serviços ou não efetuar corretamente as cópias de segurança.
  • Eliminar de forma segura todos os dados obtidos no âmbito da sua investigação logo que deixem de ser necessários ou no prazo de um mês após a resolução da vulnerabilidade, consoante o que ocorrer primeiro (ou conforme exigido pela lei de proteção de dados).
Notas legais

Este conjunto de diretivas foi concebido de forma a que os descobridores que sigam as instruções não sejam objeto de processos judiciais.

Divulgação de vulnerabilidades

Se descobrir vulnerabilidades nos sistemas de TI e nas aplicações Web da BORA Vertriebs GmbH & Co KG ou nos produtos distribuídos pela BORA Vertriebs GmbH & Co KG, informe-nos. Em seguida, tomaremos medidas imediatas para eliminar a vulnerabilidade encontrada o mais rapidamente possível.

 

Para tal, proceda da seguinte forma:

  • antes de enviar o seu relatório, informe-se sobre os casos que não se enquadram no âmbito da nossa Política de Divulgação de Vulnerabilidades e que não se encontram neste enquadramento;
  • envie as suas conclusões sobre o problema de segurança por correio eletrónico para security@bora.com;
  • não explore a vulnerabilidade ou o problema, por exemplo, descarregando, modificando ou apagando dados ou carregando código;
  • não transmita informações sobre a vulnerabilidade a terceiros ou instituições, a menos que tal tenha sido expressamente autorizado pela BORA Vertriebs GmbH & Co KG;
  • não efetue quaisquer ataques aos nossos sistemas informáticos que comprometam, alterem ou manipulem as infraestruturas ou as pessoas;
  • não realize ataques de engenharia social (por exemplo, phishing), negação de serviço (distribuído), spam ou outros ataques à BORA Vertriebs GmbH & Co KG;
  • faça-nos chegar informações suficientes para que possamos reproduzir e analisar o problema; indique também uma opção de contacto para eventuais questões.
Estamos aqui para si!
Innstrasse 1
6342 Niederndorf
Áustria
+49 8035 9840 0
00800 7890 0987 UIFN*
[email protected]

*UIFN - Universal International Freephone Number

Loja
Produtos
Serviço
instagramyoutubeblackpinterestlinkedinfacebook
Aviso legal Proteção de dados Vulnerability Disclosure Policy Whistleblower system Configurações de cookies

© Copyright 2025 BORA Vertriebs GmbH & Co KG