Programa e plataforma de divulgação de vulnerabilidades do call center
O que é o PDV?
Proteger a segurança e a integridade da plataforma Five9 é fundamental para o serviço que prestamos aos nossos clientes, e estamos comprometidos em oferecer um produto seguro. Reconhecemos e valorizamos a experiência que a comunidade de pesquisa de segurança frequentemente oferece. Por isso, a Five9 reconhece que o desenvolvimento de um relacionamento próximo com a comunidade ajudará a melhorar nossa própria segurança.
Se você descobriu ou acredita ter descoberto possíveis vulnerabilidades de segurança nos serviços da Five9, recomendamos que você relate sua descoberta para nós de acordo com este Programa de divulgação responsável. Visamos que o programa não oferece prêmios em dinheiro.
Por onde começo?
Descobrir vulnerabilidades de segurança
Incentivamos pesquisas de segurança responsáveis com serviços e produtos da Five9. Após aprovação prévia por escrito, permitimos que você realize pesquisas e testes de vulnerabilidade nos Serviços Five9 aos quais você tem acesso autorizado. As solicitações devem ser enviadas para privacy@five9.com.
Em nenhuma hipótese, sua pesquisa e seu teste deverão envolver:
- Acesso ou tentativa de acesso a contas ou dados que não pertencem a você ou a seus Usuários autorizados;
- Qualquer tentativa de modificar ou destruir qualquer dado;
- Execução ou tentativa de execução de ataque de negação de serviço;
- Envio ou tentativa de envio de e-mails não solicitados ou não autorizados, spam ou outras formas de mensagens não solicitadas a qualquer funcionário ou contratado da Five9;
- Testagem de sites, aplicações ou serviços de terceiros que se integram aos Serviços da Five9;
- Publicação, transmissão, carregamento, vinculação, envio ou armazenamento de malware, vírus ou software prejudicial semelhante, ou qualquer outra tentativa de interromper ou degradar os serviços da Five9; e
- Qualquer atividade que viole qualquer lei aplicável ou viole quaisquer acordos para descobrir vulnerabilidades.
Problemas que não devem ser comunicados
- Divulgação de arquivos ou diretórios públicos conhecidos (por ex., robots.txt)
- Divulgação de banners sobre serviços comuns/públicos
- Sugestões de configuração de cabeçalho de segurança HTTP/HTTPS/SSL/TLS
- Falta de sinalizadores Secure/HttpOnly em cookies não confidenciais
- Técnicas de phishing ou engenharia social
- Presença de operações de “preenchimento automático” ou “salvar senha” no aplicativo/no navegador da web
- Sugestões de configuração do Sender Policy Framework (SPF)
- Configurações do DMARC
- Clickjacking/Alteração da interface do usuário
Comunicação de vulnerabilidades de segurança
Caso ainda não tenha a aprovação por escrito da Five9 para conduzir a pesquisa, se você acredita ter descoberto um problema de vulnerabilidade de segurança, compartilhe os detalhes com a Five9 por meio do formulário abaixo.
Porto seguro
Ao realizar pesquisas de vulnerabilidade de acordo com essa política, consideramos que esta pesquisa está/é:
- Autorizada de acordo com a Lei de Fraude e Abuso de Computadores (Computer Fraud and Abuse Act - CFAA) (e/ou leis estaduais semelhantes), e não instauraremos ou ofereceremos suporte para ações legais contra você por violações acidentais e de boa-fé desta política;
- Isenta do Digital Millennium Copyright Act (DMCA), e não impetraremos uma ação contra você por burlar os controles de tecnologia;
- Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado de acordo com esta política; e
- Lícita, útil para a segurança geral da Internet e conduzida de boa fé.
- Espera-se, como sempre, que você cumpra todas as leis aplicáveis.
Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança está em conformidade com esta política, consulte support@bugcrowd.com. antes de prosseguir.
Compromisso da equipe de segurança Five9
Entenda que sua pesquisa é considerada Informação Confidencial da Five9 e qualquer publicação, reprodução ou outra distribuição de qualquer uma das pesquisas é expressamente proibida sem o consentimento prévio por escrito da Five9. Se você enviar um relatório de vulnerabilidade de forma responsável, a equipe de segurança da Five9 e as organizações de desenvolvimento associadas envidarão esforços razoáveis para:
- Responder em tempo hábil, confirmando o recebimento de seu relatório de vulnerabilidade
- Estimar um prazo para abordar o relatório de vulnerabilidade
- Notificar você quando a vulnerabilidade for corrigida