POLÍTICA DE DIVULGAÇÃO DE VULNERABILIDADES
Se você acredita que encontrou uma vulnerabilidade de segurança em um de nossos sites ou em nossos aplicativos, agradecemos antecipadamente por nos informar imediatamente. Investigaremos todos os relatórios legítimos e faremos o nosso melhor para corrigir qualquer problema rapidamente.
Abaixo, você encontrará a melhor maneira de relatar uma vulnerabilidade de segurança. Se você estiver procurando relatar um problema de privacidade, entre em contato com nosso oficial de privacidade conforme descrito na Política de Privacidade da Ferrero.
Não iremos tomar medidas legais, nem iniciaremos uma queixa às autoridades policiais, contra o descobridor/pesquisador que atuar de boa fé. No entanto, o Grupo Ferrero reserva todos os direitos legais no caso de não conformidade com as Diretrizes para Operar de Boa Fé que seguem.
RECOMPENSA
O Grupo Ferrero atualmente não oferece um programa de recompensas; portanto, não haverá compensação, recompensa ou reconhecimento público pelo envio de possíveis vulnerabilidades.
DIRETRIZES PARA OPERAR DE BOA FÉ
Como prova de boa fé, esperamos de você um comportamento ético, fazendo todo o esforço para:
Evitar ações disruptivas contra os sistemas da Ferrero.
Manter confidencial a informação relacionada à vulnerabilidade descoberta por um período razoável para permitir que nosso departamento técnico resolva o problema.
Evitar violações de privacidade ou qualquer destruição, modificação ou exfiltração de dados da Ferrero.
Evitar alavancar a vulnerabilidade na tentativa de acessar outros sistemas ou serviços, ou estabelecer persistência (acesso por porta dos fundos/acesso à linha de comando).
Não violar outras leis ou regulamentos aplicáveis.
FORA DO ESCOPO
As seguintes vulnerabilidades estão fora do escopo para submissão sob a Política de Divulgação de Vulnerabilidades:
Spam ou técnicas de engenharia social.
Ataques de negação de serviço.
Comprometimento de credenciais por força bruta.
Injeção de conteúdo publicando conteúdo nos sites da Ferrero.
Testes de acesso físico (por exemplo, acesso às instalações, carona, roubo de dispositivos).
INFORMAÇÕES DE CONTATO
Para divulgar uma possível vulnerabilidade, envie um e-mail para: cybersecurity.support@ferrero.com, fornecendo:
- Descrição do problema.
- Quando você encontrou o problema.
- Como ele pode ser reproduzido.
- Quaisquer ideias sobre como podemos mitigar o problema.
- Sinta-se à vontade para compartilhar scripts ou rastros de rede, se possível.
- Se possível, prefira enviar e-mails em inglês.