És um utilizador da comunidade infosec e descobriste vulnerabilidades nos nossos sistemas? Então gostaríamos de contar com a tua ajuda para as identificar e procedermos ao seu tratamento. Na Worten, levamos a segurança a sério. Reconhecemos a importância da colaboração com utilizadores de segurança para que, através de um canal adequado, possamos identificar e tratar vulnerabilidades antes que possam ser exploradas.
Este espaço é designado para que utilizadores relatem vulnerabilidades de forma ética e responsável, contribuindo para a segurança das nossas plataformas de serviços e nos servidores que suportam o seu funcionamento.
Os utilizadores que queiram participar no programa devem atuar de boa-fé, cumprir a legislação aplicável e a presente Política. Nesse caso, a Worten considerará as atividades dos utilizadores como autorizadas e promoverá a colaboração para compreender e resolver as vulnerabilidades reportadas.
No entanto, caso seja detetada qualquer atividade que viole a legislação aplicável ou a presente Política ou qualquer ação do utilizador que crie ou torne real qualquer vulnerabilidade nos nossos sistemas, serão acionados os meios legais competentes ao dispor.
Em particular, no exercício das suas atividades, é imperativo que:
Não armazene, partilhe, comprometa ou destrua dados da Worten ou dos seus clientes. Se qualquer dado pessoal, informação confidencial ou segredo comercial, for encontrada as atividades devem ser imediatamente suspensas, os dados imediatamente eliminados do seu sistema e a Worten deve ser imediatamente contactada através deste email dpo@worten.pt.
Não realize nenhuma atividade que possa interromper os nossos sistemas ou serviços, ou que comprometa a disponibilidade da plataforma.
Não tire partido da vulnerabilidade ou do problema que detetou.
Utilize apenas uma exploração inofensiva para confirmar a presença de uma vulnerabilidade.
Não utilize ferramentas de exploração automatizadas que possam gerar tráfego excessivo.
Respeite a privacidade, confidencialidade e integridade dos dados.
Não divulgue as vulnerabilidades identificadas até que elas estejam corrigidas e que seja dado consentimento expresso pela Worten.
Não inicie qualquer transação financeira indevida.
Este canal de reporte não deve ser utilizado para:
Quaisquer outras comunicações que não fazem parte do âmbito deste programa, tais como denúncias de sites/sms fraudulentos ou credenciais expostas, devem ser reportadas nos canais adequados, nomeadamente Canal de Denúncias – Worten – Equipamentos para o lar (Na opção do Âmbito da Denúncia: proteção da privacidade e dos dados pessoais e segurança da rede e dos sistemas de informação (exclusão do exercício de pedido de direitos))
Os testes apenas são autorizados no seguinte âmbito, incluido os seus subdomínios:
*.worten.es
*.worten.pt
*.iservices.be
*.iservices.nl
*.iservices.fr
*.iservices.es
*.iservices.pt
*.satfiel.com
*.lojadaspecas.pt
*.zaask.pt
É vedado, e punido nos termos legalmente previstos, o uso das seguintes práticas no âmbito da execução do teste:
As vulnerabilidades identificadas devem ser submetidas através do endereço de correio eletrónico: rvd@worten.pt
Para garantir a confidencialidade e integridade da informação, deve ser utilizada a chave PGP para comunicação criptografada: link
Para garantir que a Worten dê o devido seguimento, o relatório do Utilizador deve conter as seguintes informações:
a) Incluir uma descrição da vulnerabilidade, onde foi descoberta, ou seja, o sistema/endereço IP envolvido, bem como a consequência de sua exploração;
b) Fornecer uma descrição detalhada das etapas necessárias para replicar a vulnerabilidade;
c) Utilizar a língua portuguesa ou inglesa;
d) Se for pós-autenticação, o ID do Utilizador usado quando a vulnerabilidade foi descoberta, uma prova de conceito;
e) Incluir evidências relevantes ao relatório (código, etc.)
Deve ser enviada uma vulnerabilidade por relatório, a menos que sejam relacionadas.
Se forem submetidas vulnerabilidades em duplicado, a Worten apenas fará a triagem do primeiro relatório recebido (desde que este possa ser totalmente reproduzido).
Várias vulnerabilidades causadas por um problema subjacente serão tratadas como um único relatório válido.
Comunicação inicial automática que informa o recebimento do relatório de vulnerabilidade.
Resposta no prazo máximo de trinta dias, com a avaliação da vulnerabilidade reportada e a estimativa temporal de correção.
A Worten poderá ao seu critério, fornecer atualizações regulares sobre o status do relatório.
Os utilizadores que relatarem vulnerabilidades válidas poderão ser reconhecidos no nosso site institucional.
Para os utilizadores que ajam de boa-fé, com respeito pela legislação aplicável e a presente Política, a Worten garante que:
Não serão tomadas ações legais.
A privacidade e a reputação do utilizador serão protegidos.
Apenas serão partilhados dados com terceiros se decorrente de obrigação legal.
Não oferecemos recompensas financeiras por relatórios de vulnerabilidades (Programa “Bug Bounty”). No entanto, reconhecemos e valorizamos os esforços, pelo que, caso exista autorização dos Utilizadores para o efeito, faremos um reconhecimento público do nome e número de vulnerabilidades encontradas.
O reconhecimento com a identificação do utilizador que reportou a vulnerabilidade é através do Hall of Fame
Este ponto de contacto destina-se exclusivamente a autoridades competentes no âmbito do Regulamento dos Serviços Digitais (Reg (UE) 2022/2065 relativo a um mercado único para os serviços digitais) e do Regulamento da Segurança Geral dos Produtos ( Reg (UE) 2023/988). Por favor, confirme que se trata de uma autoridade e que está a atuar neste âmbito.
This point of contact is exclusively intended for competent authorities, acting under the Digital Services Act (Regulation (EU) 2022/2065 on a single market for digital services) and the General Product Safety Regulation (Regulation (EU) 2023/988).Please confirm that you are an authority acting under the referred subject.
Este punto de contacto es exclusivamente a autoridades competentes en el ámbito del Reglamento de Servicios Digitales (Reg (UE) 2022/2065 relativo a un mercado único de servicios digitales) y del Reglamento Relativo a la Seguridad General de los Productos (Reg (UE) 2023/988). Por favor confirme que se trata de una autoridad y que está actuando en este contexto.
A sua denúncia foi submetida com sucesso
FecharConsulte o nosso Código de Ética e Conduta aqui
Fechar