Call Center Vulnerability Disclosure Program & Platform
O que é o PDV?
Proteger a segurança e a integridade da plataforma Five9 é fundamental para o serviço que prestamos aos nossos clientes, e estamos comprometidos em oferecer um produto seguro. Reconhecemos e valorizamos a experiência que a comunidade de pesquisa de segurança frequentemente oferece. Por isso, a Five9 reconhece que o desenvolvimento de um relacionamento próximo com a comunidade ajudará a melhorar nossa própria segurança.
If you have discovered or believe you have discovered potential security vulnerabilities within Five9 services, we urge you to disclose your discovery to us in accordance with this Responsible Disclosure Program. Please be aware that this program has no monetary awards.
Por onde começo?
Descobrir vulnerabilidades de segurança
We encourage responsible security research on the Five9 services and products. Upon prior written approval we permit you to conduct vulnerability research and testing on the Five9 Services to which you have authorized access. Requests are to be sent to privacy@five9.com.
Em nenhuma hipótese, sua pesquisa e seu teste deverão envolver:
- Acesso ou tentativa de acesso a contas ou dados que não pertencem a você ou a seus Usuários autorizados;
- Qualquer tentativa de modificar ou destruir qualquer dado;
- Execução ou tentativa de execução de ataque de negação de serviço;
- Envio ou tentativa de envio de e-mails não solicitados ou não autorizados, spam ou outras formas de mensagens não solicitadas a qualquer funcionário ou contratado da Five9;
- Testagem de sites, aplicações ou serviços de terceiros que se integram aos Serviços da Five9;
- Publicação, transmissão, carregamento, vinculação, envio ou armazenamento de malware, vírus ou software prejudicial semelhante, ou qualquer outra tentativa de interromper ou degradar os serviços da Five9; e
- Qualquer atividade que viole qualquer lei aplicável ou viole quaisquer acordos para descobrir vulnerabilidades.
Problemas que não devem ser comunicados
- Divulgação de arquivos ou diretórios públicos conhecidos (por ex., robots.txt)
- Divulgação de banners sobre serviços comuns/públicos
- Sugestões de configuração de cabeçalho de segurança HTTP/HTTPS/SSL/TLS
- Falta de sinalizadores Secure/HttpOnly em cookies não confidenciais
- Técnicas de phishing ou engenharia social
- Presença de operações de “preenchimento automático” ou “salvar senha” no aplicativo/no navegador da web
- Sugestões de configuração do Sender Policy Framework (SPF)
- Configurações do DMARC
- Clickjacking / UI Redressing
Comunicação de vulnerabilidades de segurança
Caso ainda não tenha a aprovação por escrito da Five9 para conduzir a pesquisa, se você acredita ter descoberto um problema de vulnerabilidade de segurança, compartilhe os detalhes com a Five9 por meio do formulário abaixo.
Porto seguro
Ao realizar pesquisas de vulnerabilidade de acordo com essa política, consideramos que esta pesquisa está/é:
- Autorizada de acordo com a Lei de Fraude e Abuso de Computadores (Computer Fraud and Abuse Act - CFAA) (e/ou leis estaduais semelhantes), e não instauraremos ou ofereceremos suporte para ações legais contra você por violações acidentais e de boa-fé desta política;
- Isenta do Digital Millennium Copyright Act (DMCA), e não impetraremos uma ação contra você por burlar os controles de tecnologia;
- Isenta de restrições em nossos Termos e Condições que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada para o trabalho realizado de acordo com esta política; e
- Lícita, útil para a segurança geral da Internet e conduzida de boa fé.
- Espera-se, como sempre, que você cumpra todas as leis aplicáveis.
If at any time you have concerns or are uncertain whether your security research is consistent with this policy, please inquire via support@bugcrowd.com before going any further.
Compromisso da equipe de segurança Five9
Entenda que sua pesquisa é considerada Informação Confidencial da Five9 e qualquer publicação, reprodução ou outra distribuição de qualquer uma das pesquisas é expressamente proibida sem o consentimento prévio por escrito da Five9. Se você enviar um relatório de vulnerabilidade de forma responsável, a equipe de segurança da Five9 e as organizações de desenvolvimento associadas envidarão esforços razoáveis para:
- Responder em tempo hábil, confirmando o recebimento de seu relatório de vulnerabilidade
- Estimar um prazo para abordar o relatório de vulnerabilidade
- Notificar você quando a vulnerabilidade for corrigida