Esta política orientará toda e qualquer violação de segurança da informação ou vulnerabilidade ocorrida nas operações das afiliadas da Globant e outras entidades controladas.
Esta política define os processos para relatar à equipe da Globant qualquer violação de dados, suspeita de violação de dados ou uma vulnerabilidade encontrada em um dos sistemas da Globant. Uma violação de dados envolve a perda, acesso não autorizado ou divulgação não autorizada de informações pessoais. Uma vulnerabilidade é qualquer falha que possa ser encontrada em um sistema que possa levar a uma violação de dados ou a uma interrupção do serviço prestado.
A fidelidade a este Procedimento e Plano de Resposta irá garantir que a Globant possa conter, avaliar e responder a violações de dados ou vulnerabilidades de forma expedita e mitigar o dano potencial que pode produzir.
Para a Globant, manter a confidencialidade, integridade e disponibilidade de nossas informações e sistemas é muito importante. Agradecemos o trabalho realizado por pesquisadores de segurança que nos ajudam a melhorar nossas medidas de segurança. É por isso que queremos ter um processo claro para você relatar vulnerabilidades ou violações de segurança. Todas as vulnerabilidades e/ou violações de segurança devem ser relatadas para: gist@globant.com
A Globant incentiva os pesquisadores de segurança a relatar qualquer vulnerabilidade ou violação de segurança que você acredita ter encontrado. Todos os relatórios enviados em conformidade com esta política serão investigados e qualquer problema que possa ser encontrado será resolvido o mais rápido possível. Se você fizer um esforço de boa-fé para cumprir esta política durante sua pesquisa de segurança, consideraremos sua pesquisa autorizada, trabalharemos com você para entender e resolver o problema rapidamente e não recomendaremos ou buscaremos ações legais relacionadas a sua pesquisa.
Os itens a seguir descrevem as ações que os pesquisadores devem, podem e não devem realizar em seus métodos de teste:
Os pesquisadores de segurança devem:
- Parar o teste e nos notificar imediatamente após a descoberta de uma vulnerabilidade.
- Parar os testes e nos notificar imediatamente após a descoberta de uma exposição de dados que não sejam públicos.
- Eliminar todos os dados que não sejam públicos armazenados da Globant ao relatar uma vulnerabilidade.
Pesquisadores de segurança podem:
-
Ver ou armazenar dados que não sejam públicos da Globant apenas na medida necessária para documentar a presença de uma potencial vulnerabilidade.
Os pesquisadores de segurança não devem:
-
Testar qualquer sistema diferente dos sistemas estabelecidos nos sistemas de escopo listados abaixo.
-
Divulgar informações de vulnerabilidade, exceto conforme estabelecido nas seções ‘Relatando uma vulnerabilidade’ e ‘Divulgação’ abaixo.
-
Participar de testes físicos de instalações ou recursos.
-
Participar em engenharia social.
-
Enviar correio eletrônico não solicitado para usuários da Globant, incluindo mensagens de “phishing”.
-
Executar ou tentar executar ataques de “negação de serviço” ou “esgotamento de recursos”.
-
Introduzir software malicioso.
-
Testar de forma que possa degradar a operação dos sistemas da Globant; ou intencionalmente prejudicar, interromper ou desativar os sistemas da Globant.
-
Excluir, alterar, compartilhar, reter ou destruir os dados da Globant, ou tornar os dados da Globant inacessíveis.
-
Usar um exploit para exfiltrar dados, estabelecer acesso de linha de comando, estabelecer uma presença persistente nos sistemas da Globant.
Determinamos o seguinte escopo de sistemas que são aceitos como pesquisados:
Os pesquisadores podem enviar relatórios de forma anônima, embora qualquer método de contato preferido seja bem-vindo para esclarecer qualquer informação de vulnerabilidade relatada ou outro intercâmbio técnico.
Ao relatar uma vulnerabilidade ou violação de segurança, é necessária uma descrição técnica detalhada das etapas para reproduzi-la, incluindo ferramentas, imagens e qualquer outra documentação que possa ser anexada aos relatórios.
As informações que devem ser fornecidas (se conhecidas) neste ponto incluem:
-
Quando a violação ocorreu ou a vulnerabilidade foi explorada (hora e data).
-
Descrição da violação/vulnerabilidade (o tipo de informação pessoal envolvida).
-
Causa da violação (se conhecida), caso contrário, como foi descoberta.
-
Quais sistemas, se houver, são afetados?
-
Qual projeto/área/tarefa está envolvido?
A Globant determinará a gravidade baseada nos seguintes critérios:
-
O tipo e a extensão das informações pessoais envolvidas
-
Se vários indivíduos foram afetados
-
Se a informação é protegida por alguma medida de segurança (proteção por senha ou criptografia).
-
A pessoa ou tipos de pessoas que agora têm acesso
-
Se há (ou poderia haver) um risco real de danos graves aos indivíduos afetados
-
Se poderia ter atenção da mídia ou das partes interessadas como resultado da violação ou suspeita de violação