O processo de Divulgação Coordenada de Vulnerabilidades da IP-COM cobre os seguintes produtos classificados como CPE (Customer Premises Equipment) e equipamentos de rede:
a) ONU e ONT;
b) Roteadores e pontos de acesso sem fio;
c) OLTs;
d) Switches gerenciáveis;
e) Módulos e demais equipamentos de rede comercializados pela IP-COM.
Relatórios referentes a produtos fora deste escopo podem ser avaliados, porém terão prioridade reduzida.
As vulnerabilidades reportadas serão avaliadas pela equipe de segurança da IP-COM, considerando os seguintes critérios:
• O relatório deve ser escrito de forma clara, em português ou inglês;
• Deve conter provas de conceito (PoC), incluindo detalhes técnicos, impacto potencial e sugestões de correção;
• A vulnerabilidade deve estar relacionada aos produtos no escopo;
• Relatórios contendo apenas erros genéricos ou resultados automáticos de ferramentas terão prioridade reduzida;
• O pesquisador deve informar qualquer intenção ou prazo de divulgação pública;
• Colaboradores da IP-COM, bem como ex-colaboradores com menos de 12 meses desde seu desligamento, não podem submeter relatórios;
• Os testes não devem causar danos, interrupções de serviço ou exposição de dados pessoais;
• Testes em equipamentos instalados em clientes devem ser realizados somente com autorização prévia.
A IP-COM compromete-se a:
• Enviar resposta inicial dentro de até 7 dias úteis após o recebimento do relatório;
• Informar o status e o prazo estimado de correção após triagem;
• Manter diálogo aberto e transparente durante toda a análise;
• Notificar o pesquisador quando a vulnerabilidade for confirmada e corrigida;
• Oferecer crédito público pela descoberta (caso desejado).
A IP-COM não tomará ações legais contra pesquisadores que seguirem integralmente esta política, desde que:
• Os testes sejam conduzidos sem causar danos ou acessar dados indevidos;
• Respeitem os limites desta política;
• Haja autorização para testes em ambientes de clientes;
• Todas as leis aplicáveis sejam cumpridas;
• O pesquisador mantenha confidencialidade por no mínimo 90 dias ou prazo acordado.
Para reportar uma vulnerabilidade em produtos da IP-COM:
1. Preencha o Formulário de Resposta a Incidentes de Segurança disponível no site da IP-COM.
2. Inclua no relatório:
- Produto e versão do firmware;
- Descrição detalhada da vulnerabilidade;
- Prova de conceito;
- Impactos potenciais;
- Sugestões de correção;
- Intenção de divulgação pública.
Ao enviar o relatório, o pesquisador confirma que compreende e aceita os termos desta política.
E-mail sugerido: security@ip-com.com.cn
