Política de Divulgação Coordenada de Vulnerabilidades Parks

A Parks, comprometida em oferecer soluções inovadoras e robustas no setor de telecomunicações, valoriza a segurança de seus clientes. Com isso em mente, estabelecemos esta política para receber relatórios de vulnerabilidades em nossos produtos, buscando colaborar de forma transparente com a comunidade de segurança para manter nossos clientes protegidos.

 

A Política de Divulgação Coordenada de Vulnerabilidades estabelece diretrizes para que pesquisadores de segurança possam identificar e reportar, de maneira responsável, vulnerabilidades potenciais encontradas nos produtos fabricados pela Parks.

 

ESCOPO INICIAL

O processo de Divulgação Coordenada de Vulnerabilidades da Parks cobre os seguintes produtos CPE (Equipamentos de Premissa do Cliente):

 

a) Cable modem;

b) Modem xDSL;

c) ONU, ONT;

d) Roteadores ou modens para acesso fixo sem fio (FWA - Fixed Wireless Access);

e) Roteadores ou modens para acesso fixo via satélite;

f) Roteadores ou pontos de acesso sem fio.

 

Pesquisadores que enviarem relatórios de vulnerabilidade que estejam dentro dos critérios e de interesse da Parks poderão receber crédito pela descoberta em nosso site, após validação pela equipe de segurança do produto.

 

REGRAS, CRITÉRIOS DE ACEITE E PRIORIZAÇÃO

As vulnerabilidades reportadas passarão por uma análise criteriosa da Parks, onde serão avaliados aspectos como prioridade e aceitação com base nos pontos abaixo:

 

O relatório deve estar escrito de forma clara e em português ou inglês;

Deve incluir provas de conceito que facilitem a validação, contendo detalhes sobre o bug, seu impacto e sugestões de correção;

A vulnerabilidade deve estar dentro do escopo dos produtos mencionados acima, sendo que relatórios fora deste escopo terão menor prioridade;

Relatórios que contenham apenas erros ou saídas de ferramentas automatizadas terão prioridade reduzida;

O pesquisador deve indicar quaisquer planos ou intenções de divulgação pública da vulnerabilidade;

Colaboradores da Parks ou pessoas que trabalharam na empresa nos últimos 12 meses não podem submeter relatórios;

O pesquisador deve evitar o uso indevido de dados sensíveis ou pessoais e conduzir seus testes de maneira a não prejudicar os usuários.

​

O QUE VOCÊ PODE ESPERAR DE NÓS:

Resposta dentro de até 5 dias úteis após o recebimento do relatório;

Após a triagem, informaremos o prazo esperado para correção e, se houver desafios, seremos transparentes;

Mantemos um diálogo aberto sobre a vulnerabilidade relatada;

Notificação quando a vulnerabilidade for confirmada pela nossa equipe de segurança;

Créditos pela descoberta da vulnerabilidade após validação e correção.

​

POSTURA LEGAL

A Parks não buscará ações legais contra quem relatar vulnerabilidades por meio do nosso CSIRT, desde que o envio esteja em conformidade com os requisitos desta política e os seguintes critérios:

 

Realizar testes de segurança sem causar danos à Parks ou seus clientes;

Efetuar testes dentro dos limites definidos por nossa Política de Divulgação de Vulnerabilidades;

Obter autorização do cliente antes de testar produtos ou sistemas específicos;

Cumprir com as leis do Brasil e do país de origem do pesquisador;

Manter a confidencialidade da vulnerabilidade por pelo menos 90 dias ou até que um prazo acordado expire.

A participação no processo de Divulgação Coordenada de Vulnerabilidades Parks não concede direitos de propriedade intelectual sobre os produtos ou serviços da Parks. Todos os direitos de propriedade intelectual pertencem exclusivamente à Parks ou seus parceiros, sendo proibido copiar, reproduzir, transmitir, vender, licenciar ou explorar para qualquer outra finalidade.

 

COMO RELATAR UMA VULNERABILIDADE

Para reportar uma vulnerabilidade em um produto Parks, preencha o formulário específico para resposta a incidentes de segurança da informação disponível na página:​​