• Política de divulgação de vulnerabilidade

Esta política orientará toda e qualquer violação de segurança da informação ou vulnerabilidade ocorrida nas operações das afiliadas da Globant e outras entidades controladas.

Esta política define os processos para relatar à equipe da Globant qualquer violação de dados, suspeita de violação de dados ou uma vulnerabilidade encontrada em um dos sistemas da Globant. Uma violação de dados envolve a perda, acesso não autorizado ou divulgação não autorizada de informações pessoais. Uma vulnerabilidade é qualquer falha que possa ser encontrada em um sistema que possa levar a uma violação de dados ou a uma interrupção do serviço prestado.

A fidelidade a este Procedimento e Plano de Resposta irá garantir que a Globant possa conter, avaliar e responder a violações de dados ou vulnerabilidades de forma expedita e mitigar o dano potencial que pode produzir.

Para a Globant, manter a confidencialidade, integridade e disponibilidade de nossas informações e sistemas é muito importante. Agradecemos o trabalho realizado por pesquisadores de segurança que nos ajudam a melhorar nossas medidas de segurança. É por isso que queremos ter um processo claro para você relatar vulnerabilidades ou violações de segurança. Todas as vulnerabilidades e/ou violações de segurança devem ser relatadas para: gist@globant.com

A Globant incentiva os pesquisadores de segurança a relatar qualquer vulnerabilidade ou violação de segurança que você acredita ter encontrado. Todos os relatórios enviados em conformidade com esta política serão investigados e qualquer problema que possa ser encontrado será resolvido o mais rápido possível. Se você fizer um esforço de boa-fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa autorizada, trabalharemos com você para entender e resolver o problema rapidamente e não recomendaremos ou buscaremos ações legais relacionadas a sua pesquisa.

Os itens a seguir descrevem as ações que os pesquisadores devem, podem e não devem realizar em seus métodos de teste:

 

Os pesquisadores de segurança devem:

  • Parar o teste e nos notificar imediatamente após a descoberta de uma vulnerabilidade.
  • Parar os testes e nos notificar imediatamente após a descoberta de uma exposição de dados que não sejam públicos.
  • Eliminar todos os dados que não sejam públicos armazenados da Globant ao relatar uma vulnerabilidade.

Pesquisadores de segurança podem:

  • Ver ou armazenar dados que não sejam públicos da Globant apenas na medida necessária para documentar a presença de uma potencial vulnerabilidade.

Os pesquisadores de segurança não devem:

  • Testar qualquer sistema diferente dos sistemas estabelecidos nos sistemas de escopo listados abaixo.

  • Divulgar informações de vulnerabilidade, exceto conforme estabelecido nas seções ‘Relatando uma vulnerabilidade’ e ‘Divulgação’ abaixo.

  • Participar de testes físicos de instalações ou recursos.

  • Participar em engenharia social.

  • Enviar correio eletrônico não solicitado para usuários da Globant, incluindo mensagens de “phishing”.

  • Executar ou tentar executar ataques de “negação de serviço” ou “esgotamento de recursos”.

  • Introduzir software malicioso.

  • Testar de forma que possa degradar a operação dos sistemas da Globant; ou intencionalmente prejudicar, interromper ou desativar os sistemas da Globant.

  • Excluir, alterar, compartilhar, reter ou destruir os dados da Globant, ou tornar os dados da Globant inacessíveis.

  • Usar um exploit para exfiltrar dados, estabelecer acesso de linha de comando, estabelecer uma presença persistente nos sistemas da Globant.

Determinamos o seguinte escopo de sistemas que são aceitos como pesquisados:

Os pesquisadores podem enviar relatórios de forma anônima, embora qualquer método de contato preferido seja bem-vindo para esclarecer qualquer informação de vulnerabilidade relatada ou outro intercâmbio técnico.

Ao relatar uma vulnerabilidade ou violação de segurança, é necessária uma descrição técnica detalhada das etapas para reproduzi-la, incluindo ferramentas, imagens e qualquer outra documentação que possa ser anexada aos relatórios.

As informações que devem ser fornecidas (se conhecidas) neste ponto incluem:

  1. Quando a violação ocorreu ou a vulnerabilidade foi explorada (hora e data).

  2. Descrição da violação/vulnerabilidade (o tipo de informação pessoal envolvida).

  3. Causa da violação (se conhecida), caso contrário, como foi descoberta.

  4. Quais sistemas, se houver, são afetados?

  5. Qual projeto/área/tarefa está envolvido?


 

A Globant determinará a gravidade baseada nos seguintes critérios:

  1. O tipo e a extensão das informações pessoais envolvidas

  2. Se vários indivíduos foram afetados

  3. Se a informação é protegida por alguma medida de segurança (proteção por senha ou criptografia).

  4. A pessoa ou tipos de pessoas que agora têm acesso

  5. Se há (ou poderia haver) um risco real de danos graves aos indivíduos afetados

  6. Se poderia ter atenção da mídia ou das partes interessadas como resultado da violação ou suspeita de violação