Skip to main content

Plataforma e programa de divulgação de vulnerabilidades do call center

O que é o PDV?

Proteger a segurança e a integridade da plataforma da Five9 é fundamental para o serviço que prestamos aos nossos clientes, e temos o compromisso de oferecer um produto seguro. Reconhecemos e valorizamos a experiência que a comunidade de investigação de segurança frequentemente oferece. Por isso, a Five9 reconhece que o desenvolvimento de uma relação de proximidade com a comunidade ajudará a melhorar a nossa própria segurança.

Se descobriu ou acredita ter descoberto possíveis vulnerabilidades de segurança nos serviços da Five9, pedimos-lhes que nos informe sobre a sua descoberta em conformidade com este programa de divulgação responsável. Tenha em atenção que este programa não oferece prémios monetários.

Imagem
What is the VDP?

Por onde começo?

Descobrir vulnerabilidades de segurança

Incentivamos investigações de segurança responsáveis nos serviços e produtos da Five9. Após aprovação prévia por escrito, permitimos que realize investigações e testes de vulnerabilidade nos serviços da Five9 a que tem acesso autorizado. Os pedidos devem ser enviados para privacy@five9.com.

Em hipótese alguma, as suas investigações e testes devem envolver:

  1. acesso ou tentativa de acesso a contas ou dados que não pertencem a si ou aos seus utilizadores autorizados;
  2. qualquer tentativa de modificar ou destruir quaisquer dados;
  3. Execução ou tentativa de execução de ataque de negação de serviço;
  4. envio ou tentativa de envio de e-mails não solicitados ou não autorizados, spam ou outras formas de mensagens não solicitadas a qualquer funcionário ou contratante da Five9;
  5. testagem de sites, aplicações ou serviços de terceiros que se integram nos serviços da Five9;
  6. publicação, transmissão, carregamento, vinculação, envio ou armazenamento de malware, vírus ou software prejudicial semelhante ou qualquer outra tentativa de interromper ou degradar os serviços da Five9; e
  7. qualquer atividade que viole qualquer lei aplicável ou quaisquer acordos para descobrir vulnerabilidades.

Problemas que não devem ser comunicados

  1. Divulgação de arquivos ou diretórios públicos conhecidos (por exemplo, robots.txt)
  2. Divulgação de banners sobre serviços comuns/públicos
  3. Sugestões de configuração de cabeçalhos de segurança HTTP/HTTPS/SSL/TLS
  4. Falta de sinalizadores Secure/HttpOnly em cookies não confidenciais
  5. Técnicas de phishing ou engenharia social
  6. Presença de operações de “preenchimento automático” ou “guardar palavra-passe” na aplicação e/ou navegador web
  7. Sugestões de configuração do Sender Policy Framework (SPF)
  8. Configurações DMARC
  9. Clickjacking/Correção da IU

Comunicar vulnerabilidades de segurança

Caso ainda não tenha a aprovação por escrito da Five9 para realizar a investigação, se acredita ter descoberto um problema de vulnerabilidade de segurança, partilhe os detalhes com a Five9 através do formulário abaixo.

Porto seguro

Ao realizar investigações de vulnerabilidade de acordo com esta política, consideramos que esta investigação:

  • está autorizada de acordo com a Lei de Fraude e Abuso Informático (Computer Fraud and Abuse Act - CFAA) (e/ou leis estaduais semelhantes) e não intentaremos nem apoiaremos ações legais contra si por violações acidentais e de boa-fé desta política;
  • está isenta da Lei de Direitos de Autor do Milénio Digital (DMCA) e não intentaremos uma ação contra si por burlar os controlos de tecnologia;
  • está isenta de restrições nos nossos Termos e Condições que possam interferir na realização de investigações de segurança e renunciaremos a essas restrições de forma limitada para o trabalho realizado de acordo com esta política; e
  • é lícita, útil para a segurança geral da internet e conduzida de boa-fé.
  • Espera-se, como sempre, que cumpra todas as leis aplicáveis.

Se, em qualquer altura, tiver dúvidas ou não souber se a sua investigação de segurança está em conformidade com esta política, envie um e-mail para support@bugcrowd.com antes de prosseguir.

Compromisso da equipa de segurança da Five9

Compreenda que a sua investigação é considerada Informação Confidencial da Five9 e qualquer publicação, reprodução ou outra distribuição de qualquer uma das investigações é expressamente proibida sem o consentimento prévio por escrito da Five9. Se enviar um relatório de vulnerabilidade de forma responsável, a equipa de segurança da Five9 e as organizações de desenvolvimento associadas envidarão os esforços razoáveis para:

  1. responder em tempo útil, confirmando a receção do seu relatório de vulnerabilidade;
  2. estimar um prazo para abordar o relatório de vulnerabilidade;
  3. lhe enviar uma notificação assim que a vulnerabilidade for corrigida.

Comunicar uma vulnerabilidade ou um erro