Relatório de vulnerabilidade

• Amazon Web Services (AWS): para relatar uma vulnerabilidade ou manifestar uma preocupação de segurança a respeito dos serviços da Nuvem AWS ou de projetos de código aberto, envie as informações entrando em contato com aws-security@amazon.com. Se desejar proteger o conteúdo do seu envio, você poderá usar nossachave PGP.
• Amazon.com (varejo): em caso de dúvidas de segurança relacionadas à Amazon.com (varejo), central do vendedor, Amazon Payments ou outros assuntos, como pedidos e e-mails suspeitos, cobranças inválidas em cartão de crédito ou denúncia de vulnerabilidades, acesse a nossa página da Web de Segurança no varejo.
• Política de suporte ao cliente para testes de penetração da AWS: os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia para os serviços listados. A solicitação de autorização para outros eventos simulados deve ser enviada por meio do Formulário de eventos simulados. Clientes que operam na Região da AWS da China (Ningxia e Beijing) devem usar este Formulário de eventos simulados.
• Abuso da AWS: se você suspeita que alguns recursos da AWS (como uma instância do EC2 ou um bucket do S3) estão sendo usados para atividades suspeitas, poderá denunciar o caso para a equipe de abuso da AWS usando o Formulário de denúncia de abuso à Amazon AWS ou entrando em contato com abuse@amazonaws.com.
• Informações de conformidade da AWS: o acesso aos relatórios de conformidade da AWS está disponível via AWS Artifact. Em caso de dúvidas adicionais relacionadas à conformidade da AWS, entre em contato via formulário de entrada da AWS.

Para que possamos responder com mais eficácia ao seu relatório, forneça qualquer material de suporte (código de prova de conceito, saída da ferramenta etc.) que seja útil para nos ajudar a entender a natureza e a gravidade da vulnerabilidade.

As informações que você compartilha com a AWS como parte desse processo são mantidas em sigilo na AWS. A AWS só compartilhará essas informações com uma empresa externa se a vulnerabilidade que você relatar for considerada passível de afetar o produto de uma empresa externa, situação na qual compartilharemos essas informações com o autor ou fabricante do produto em questão. Caso contrário, a AWS só compartilhará essas informações se permitido por você.

A AWS examinará o relatório enviado e atribuirá a ele um número de controle. Responderemos a você, acusando o recebimento do relatório, e descreveremos as próximas etapas no processo.

As atividades a seguir estão fora do escopo do programa de relatório de vulnerabilidade da AWS. A condução de qualquer uma das atividades a seguir resultará na desqualificação permanente do programa.

• Direcionar ativos de clientes da AWS ou de sites não AWS hospedados na nossa infraestrutura
• Qualquer vulnerabilidade obtida através do comprometimento de contas de cliente ou colaborador da AWS
• Qualquer ataque de negação de serviços (DoS) contra produtos ou clientes da AWS
• Ataques físicos contra funcionários, escritórios e data centers da AWS
• Engenharia social de funcionários, empresas contratadas, fornecedores ou prestadores de serviço da AWS
• Publicar, transmitir, fazer upload, enviar links ou malware de forma intencional
• Procurar vulnerabilidades que enviem mensagens em massa não solicitadas (spam)

A AWS tem o compromisso de ser dinâmica e manter você informado sobre o nosso progresso. Você receberá uma resposta não automática confirmando o recebimento de seu relatório inicial em 24 horas, atualizações periódicas e check-ins mensais durante todo o contrato. Você pode solicitar atualizações a qualquer momento, e agradecemos quaisquer diálogos que esclareçam qualquer preocupação ou coordenação de divulgação.

Se for aplicável, a AWS coordenará a notificação pública de qualquer vulnerabilidade validada com você. Quando possível, preferimos que nossas respectivas divulgações públicas sejam publicadas simultaneamente.

Para proteger nossos clientes, a AWS solicita que você não publique nem compartilhe quaisquer informações sobre uma vulnerabilidade potencial em qualquer ambiente público até que tenhamos pesquisado, respondido e tratado da vulnerabilidade relatada e os clientes tenham sido informados, se necessário. Além disso, pedimos respeitosamente que você não publique nem compartilhe nenhum dado pertencente a nossos clientes. Tratar de uma vulnerabilidade válida relatada levará tempo e o prazo dependerá da gravidade da vulnerabilidade e dos sistemas afetados.

As notificações públicas da AWS são feitas na forma de boletins de segurança, os quais são publicados no site de Segurança da AWS. Indivíduos, empresas e equipes de segurança normalmente publicam informes nos seus próprios sites e em outros fóruns e, quando for relevante, incluiremos links para estes recursos de terceiros nos boletins de segurança da AWS.  

A AWS acredita que pesquisas de segurança realizadas de boa fé devem receber o certificado de conformidade com as diretrizes de safe harbor. Para fins de safe harbor para pesquisas de segurança e relatórios de vulnerabilidades, a segurança da AWS adotou os termos fundamentais do disclose.io, especificamente “Safe Harbor” e “Nossas expectativas”. Estamos ansiosos para trabalhar com pesquisadores de segurança que compartilham nossa paixão por proteger os clientes da AWS.

Assim, consideramos que a pesquisa de segurança conduzida de acordo com esta política são:

• Autorizadas em relação a qualquer lei anti-hacking aplicável, e não iniciaremos nem apoiaremos ações legais contra você por violações acidentais e de boa fé desta política;
• Autorizadas em relação a quaisquer leis antievasão relevantes, e não apresentaremos reclamações contra você por contornar controles de tecnologia;
• Isentas de restrições em nossos Termos de serviço e/ou Política de uso aceitável que possam interferir na realização de pesquisas de segurança, e renunciamos a essas restrições de forma limitada; e
• Legalmente, úteis para a segurança geral da Internet e conduzidas de boa fé.

Espera-se, como sempre, que você respeite todas as leis aplicáveis. Se uma ação legal for iniciada por terceiros contra você e você tiver cumprido esta política, tomaremos medidas para informar que suas ações foram conduzidas em conformidade com a política.

Se, em algum momento, você tiver dúvidas ou não tiver certeza se sua pesquisa de segurança é consistente com esta política, envie um relatório por meio de um dos canais mencionados anteriormente em “Como relatar suspeitas de vulnerabilidades” antes de prosseguir.

Observe que o safe harbor se aplica somente a ações judiciais sob o controle da organização que participa desta política e que essa política não vincula terceiros independentes.

Ao participar de nosso programa de divulgação de vulnerabilidades de boa fé, pedimos que você:

• Siga as regras, incluindo essa política e quaisquer outros acordos relevantes. Se houver alguma inconsistência entre essa política e quaisquer outros termos aplicáveis, os termos dessa política prevalecerão;
• Relate qualquer vulnerabilidade que você tenha descoberto imediatamente;
• Evite violar a privacidade de outras pessoas, interromper nossos sistemas, destruir dados e/ou prejudicar a experiência do usuário;
• Use somente os canais mencionados anteriormente para discutir informações sobre vulnerabilidades conosco;
• Forneça um período de tempo razoável a partir do relatório inicial para resolver o problema antes de divulgá-lo publicamente;
• Realize testes somente em sistemas dentro do escopo e respeite os sistemas e atividades que não fazem parte dele;
• Se uma vulnerabilidade fornecer acesso não intencional aos dados: limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar com eficácia uma prova de conceito; interrompa os testes e envie um relatório imediatamente se encontrar algum dado de usuário durante o teste, como informações de identificação pessoal (PII), informações pessoais de saúde (PHI), dados de cartão de crédito ou outras informações confidenciais;
• Interaja somente com as contas de teste que você possui ou com permissão explícita do titular da conta; e
• Não se envolva em práticas de extorsão.