Vulnerabilidades de Segurança do IC CDM-22

Nenhuma vulnerabilidade identificada até o momento.

Esta política de divulgação de vulnerabilidades aplica-se a qualquer vulnerabilidade relacionada ao IC CDM-22 que você esteja considerando relatar à Hilti AG (a "Organização").

Recomendamos que leia esta política de divulgação de vulnerabilidades na íntegra antes de comunicar uma vulnerabilidade, e que esteja sempre em conformidade com a mesma.

Valorizamos aqueles que dedicam tempo e esforço para comunicar vulnerabilidades de segurança de acordo com esta política. No entanto, não oferecemos recompensas monetárias por divulgações de vulnerabilidades.

Se você acredita ter encontrado uma vulnerabilidade de segurança, envie um relatório de vulnerabilidade usando o formulário de contato vinculado à página de vulnerabilidade do IC CDM-22.

Em seu relatório, inclua detalhes sobre: O produto em que a vulnerabilidade pode ser observada:

• O produto em que a vulnerabilidade pode ser observada.
• Uma breve descrição do tipo de vulnerabilidade
• Etapas para reproduzir. Essas etapas devem ser uma prova de contexto inofensiva e não destrutiva. Isso ajuda a garantir que o relatório possa ser avaliado de forma rápida e precisa. Também reduz a probabilidade de relatórios duplicados ou de exploração maliciosa de algumas vulnerabilidades.

Após o envio da sua notificação, responderemos em até 7 dias e procuraremos fazer a triagem da sua notificação após a primeira investigação. Também procuraremos mantê-lo informado sobre o nosso progresso.

A prioridade para correção é avaliada com base no impacto, na gravidade e na complexidade da violação. Os relatórios de vulnerabilidade podem levar algum tempo para serem triados ou resolvidos. Você pode consultar o status, mas deve evitar fazê-lo mais de uma vez a cada 14 dias. Isso permite que nossas equipes se concentrem na correção.

Nós o notificaremos quando a vulnerabilidade relatada for corrigida, e você poderá ser convidado a confirmar que a solução atende adequadamente à vulnerabilidade.

Depois que sua vulnerabilidade for resolvida, receberemos solicitações para divulgar seu relatório. Gostaríamos de unificar as orientações para os usuários afetados, portanto, continue a colaborar com a divulgação pública.

Você NÃO deve:

• Infringir qualquer lei ou regulamento aplicável.
• Acessar quantidades desnecessárias, excessivas ou significativas de dados.
• Modificar dados nos sistemas ou serviços da Organização.
• Usar ferramentas de varredura invasivas ou destrutivas de alta intensidade para encontrar vulnerabilidades.
• Tentar ou relatar qualquer forma de negação de serviço, por exemplo, sobrecarregar um serviço com um grande volume de solicitações.
• Interromper os serviços ou sistemas da Organização.
• Enviar relatórios detalhando vulnerabilidades não exploráveis ou relatórios indicando que os serviços não estão totalmente alinhados com as "práticas recomendadas", por exemplo, cabeçalhos de segurança ausentes.
• Fazer engenharia social, "phishing" ou atacar fisicamente a equipe ou a infraestrutura da Organização.
• Exigir compensação financeira para divulgar quaisquer vulnerabilidades.

Você deve:

• Sempre respeitar as regras de proteção de dados e não violar a privacidade dos usuários, funcionários, contratados, serviços ou sistemas da Organização. Você não deve, por exemplo, compartilhar, redistribuir ou deixar de proteger adequadamente os dados recuperados dos sistemas ou serviços.
• Exclua com segurança todos os dados recuperados durante sua pesquisa assim que não forem mais necessários ou dentro de um mês após a resolução da vulnerabilidade, o que ocorrer primeiro (ou conforme exigido pela lei de proteção de dados).

Esta política foi elaborada para ser compatível com as boas práticas comuns de divulgação de vulnerabilidades. Ela não lhe dá permissão para agir de qualquer maneira que seja inconsistente com a lei ou que possa fazer com que a Organização ou as organizações parceiras violem qualquer obrigação legal.