Declaração de Divulgação de Vulnerabilidades Técnicas

Programa geral de gestão de vulnerabilidades técnicas

A NTT DATA, Inc. está empenhada em garantir a segurança e integridade dos nossos ativos digitais. Investimos continuamente em medidas de segurança abrangentes e auditorias regulares para proteger estes ativos. Apesar de reconhecermos o valor do envolvimento da comunidade em programas como bug bounty, o nosso foco está em colaborar com especialistas internos e contratados para manter e melhorar o nosso programa de segurança.

Assim, não oferecemos compensações a indivíduos ou organizações pela identificação de vulnerabilidades de segurança, sejam elas potenciais ou confirmadas. Qualquer solicitação de compensação monetária ou outro tipo de recompensa será considerada uma violação dos termos do nosso Programa de Divulgação Responsável.

Como relatar uma potencial vulnerabilidade de segurança

Caso tenha descoberto uma potencial vulnerabilidade de segurança na NTT DATA, Inc. ou num dos nossos serviços ou produtos, queremos saber e encorajamos vivamente que nos informe o mais rapidamente possível e de forma responsável.

Comunique a sua preocupação através do nosso site, dando o máximo de informação possível, incluindo:

• Uma explicação da vulnerabilidade de segurança identificada
• Uma lista de produtos e serviços potencialmente afetados (se aplicável)
• Passos para reproduzir a vulnerabilidade
• Os nomes de contas de teste criadas (se aplicável) 
• As suas informações de contacto

O que acontece a seguir?

Estamos empenhados em rever todos os relatórios de divulgação responsável. Pedimos que mantenha a confidencialidade e que não torne pública a sua investigação até que tenhamos concluído a análise e, se necessário, resolvido ou mitigado a vulnerabilidade.

Pedimos que não divulgue publicamente os detalhes de qualquer vulnerabilidade de segurança sem o nosso consentimento escrito.

De acordo com os requisitos legais e regulamentares, todos os relatórios serão mantidos sob confidencialidade, assim como os detalhes da vulnerabilidade e a identidade dos investigadores envolvidos.

Se as vulnerabilidades forem descobertas e relatadas de acordo com o nosso Programa de Divulgação Responsável, não tomaremos medidas legais contra os investigadores.

Em caso de incumprimento, reservamo-nos todos os direitos legais.

As seguintes atividades de pesquisa são estritamente proibidas:

• Aceder ou tentar aceder a contas ou dados que não lhe pertencem.
• Qualquer tentativa de modificar ou destruir dados.
• Executar ou tentar executar um ataque de negação de serviço (DoS).
• Enviar ou tentar enviar emails não solicitados ou não autorizados, spam ou mensagens indesejadas.
• Engenharia social com qualquer colaborador, contratado, cliente ou outra parte da NTT DATA, incluindo phishing.
• Tentativas físicas contra propriedades ou centros de dados, incluindo infraestrutura alojada e escritórios.
• Publicar, transmitir ou armazenar malware, vírus ou software prejudicial.
• Testar sites, aplicações ou serviços de terceiros integrados nos nossos.
• Usar scanners automáticos de vulnerabilidades.
• Extrair dados sob quaisquer circunstâncias.
• Qualquer atividade que viole a lei aplicável.

Podemos tomar medidas legais contra qualquer pessoa envolvida nestas ações.

Reconhecimento de vulnerabilidades relatadas

Após a conclusão da investigação, poderemos, de acordo com o nosso critério e com o consentimento dos investigadores, reconhecer os envolvidos. Contudo, não oferecemos compensações.

Relatórios duplicados ou já conhecidos não serão elegíveis para reconhecimento público.

Relate uma vulnerabilidade técnica

Se descobriu uma potencial vulnerabilidade de segurança na NTT DATA, Inc. ou num dos nossos serviços ou produtos, queremos saber e encorajamos vivamente que nos informe o mais rapidamente possível e de forma responsável.