ClassPass

Artigos nessa seção

Exibir mais

Em que consiste a política da ClassPass relativa à revelação de fragilidades na segurança?

Avatar
ClassPass Support

A segurança dos dados é uma prioridade primordial para a ClassPass, pelo que acreditamos que a colaboração estreita com investigadores de segurança externos é uma forma importante de revelar as fragilidades que possam existir no nosso software.

Se crês ter identificado uma fragilidade na segurança no serviço da ClassPass, por favor, comunica-nos esse facto. Estamos disponíveis para trabalhar contigo no sentido de resolver essa questão prontamente.

Valorizamos aqueles que investem o seu tempo e esforço para reportar fragilidades na segurança. Como tal, oferecemos uma recompensa monetária pela identificação e revelação dessas fragilidades.

 

Política de Revelação

Se crês ter identificado uma potencial fragilidade, por favor, comunica-nos esse facto por email para security@classpass.com. Daremos resposta ao teu email no prazo de 5 dias úteis.

No teu relatório, por favor, inclui as seguintes informações:

  • O website, o IP ou a página onde a fragilidade pode ser observada.
  • Uma breve descrição do tipo de fragilidade.
  • Passos para a recriação. Estes devem constituir uma prova de conceito benigna e não-destrutiva. A recriação do processo que levou à deteção de fragilidade contribui para que o relatório seja rápida e seriamente considerado.

Permite-nos um período de tempo razoável para resolver o problema antes de o revelares ou partilhares publicamente ou a terceiros. Envidaremos todos os esforços para resolver as situações críticas nos primeiros 30 dias após a comunicação da fragilidade. Faremos a triagem do assunto para nos assegurarmos de que não existe duplicação de eventos reportados, e classificá-lo-emos consoante a gravidade da fragilidade detetada. Uma vez que a triagem esteja feita, assumindo que o relatório não é repetido, pagaremos, via Paypal, uma recompensa consoante a gravidade da fragilidade detetada.

Aconselhamos especial cuidado para que evites ações que resultem na violação da privacidade, destruição de dados ou na interrupção ou degradação do serviço ClassPass. Pedimos-te que apenas intervenhas em contas que te pertençam ou às quais tenhas a explícita permissão de acesso do titular da conta. O teu relatório não deverá resultar de qualquer ação que viole a lei ou qualquer regulamento, incluindo a legislação que proíba o acesso não-autorizado aos dados.

 

Exclusões

Durante a tua pesquisa, deverás abster-te das seguintes práticas:

  • Distributed Denial of Service (DDoS)
  • Envio de Spam
  • Engenharia social ou "phishing" sobre a ClassPass, os seus funcionários ou prestadores de serviço.
  • Quaisquer ataques contra os centros de dados ou outra propriedade física da ClassPass.
  • Quaisquer ataques contra os nossos utilizadores finais (end users), ou práticas de venda de credenciais de utilizadores roubadas. Utilização de contas de outrem, cujos dados de login tenham sido comprometidos. O aproveitamento de fragilidades que tenham sido descobertas através da utilização de contas cujos dados tenham sido comprometidos, serão desqualificadas.

Ficamos gratos pelo teu interesse e dedicação em manter a ClassPass e os seus clientes em segurança.

 

Alterações

Estas orientações poderão ser revistas e alteradas periodicamente. A versão mais atual destas orientações estará sempre disponível em https://classpass.com/vulnerability-disclosure.

 

Contacto

A ClassPass está sempre aberta a feedback, questões e sugestões. Se desejares contactar-nos, por favor, não hesites em escrever-nos para security@classpass.com.

Este artigo foi útil?
Utilizadores que acharam útil: 0 de 1
Mais dúvidas ou questões? Contacte-nos

Comentários

0 comentário

Artigo fechado para comentários.

Voltar ao topo

Artigos relacionados