RESPOSTA A INCIDENTES DE SEGURANÇA DO PRODUTO Da HCL SOFTWARE

A HCL Software reconhece a importância da comunidade de segurança para manter nossos produtos e nossos clientes seguros. Agradecemos antecipadamente por suas contribuições ao nosso programa de divulgação de vulnerabilidades.

A Equipe de Gerenciamento de Vulnerabilidades da HCL Software gerencia o recebimento, investigação e coordenação interna das informações de vulnerabilidades de segurança relacionadas às ofertas da HCL Software. Essa equipe coordenará com as equipes de produtos e soluções da HCL para investigar e, se necessário, identificar o plano de resposta apropriado. Manter a comunicação entre todas as partes envolvidas, internas e externas, é um componente chave do nosso processo de resposta a vulnerabilidades.

A HCL terá como objetivo responder a novos relatórios dentro de 2 dias úteis.

Os clientes e outros usuários autorizados de um produto ou solução devem entrar em contato Suporte ao Cliente HCL Software para relatar problemas descobertos nas ofertas da HCL. Se a Equipe de Suporte ao Cliente da HCL Software determinar que um problema relatado é uma vulnerabilidade de segurança, ela entrará em contato com a Equipe de Gerenciamento de Vulnerabilidades da HCL Software, conforme necessário.

• Para ser elegível para participar deste programa, você não deve estar sob contrato para realizar testes de segurança para a HCL Corporation, ou uma subsidiária da HCL, ou cliente da HCL dentro de 6 meses antes de enviar um relatório.
• Apenas relate vulnerabilidades para produtos de software HCL que estão atualmente em suporte. Verifique a seção “No escopo” abaixo para obter a lista de produtos. Apenas a versão atual e a versão anterior de qualquer um desses produtos são cobertas por este programa.
• Para proteger nossos clientes, a HCL Software não divulga ou confirma publicamente vulnerabilidades de segurança até que a HCL Software tenha realizado uma análise do produto e emitido correções e/ou atenuações. Ao enviar um relatório de vulnerabilidade para a HCL Software, você concorda em não divulgar publicamente ou compartilhar a vulnerabilidade com terceiros até que a HCL Software confirme que a vulnerabilidade foi corrigida ou que você tenha recebido permissão por escrito da HCL Software para publicar informações sobre a vulnerabilidade.
• A HCL Software não participa de programas de recompensas por bugs no momento.
• Para que a HCL avalie seu relatório de vulnerabilidade, você concorda em fornecer as seguintes informações sobre sua descoberta: seu endereço de e-mail (obrigatório) e detalhes sobre o produto e a versão do software, uma descrição do problema, a plataforma de hardware, etapas para reproduzir o problema e impacto potencial. Consulte a seção“Relatar uma vulnerabilidade de segurança”.
• Não inclua nenhuma informação que possa identificar um indivíduo (como nome, informações de contato, endereço IP ou outras informações semelhantes) em nenhum anexo incluído em seu relatório de vulnerabilidade.

As seguintes submissões não são aceitas como parte deste programa.

• Clickjacking em páginas sem ações sensíveis de mudança de estado.
• CSRF não autenticado/logout/login.
• Ataques que exigem MITM ou acesso físico ao dispositivo de um usuário.
• Bibliotecas vulneráveis anteriormente conhecidas sem uma prova de conceito funcional.
• Injeção de valores separados por vírgula (CSV) sem demonstrar uma vulnerabilidade.
• Práticas recomendadas que não levam a uma vulnerabilidade acionável ou não têm um CVE.
• Qualquer atividade que possa levar à interrupção do nosso serviço (DoS).
• Problemas de falsificação de conteúdo e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS.
• O HCL Software que atingiu o fim do suporte (EOS) não é aceito e receberá uma resposta "Não aplicável".
• Dados publicamente conhecidos destinados a serem acessados por qualquer pessoa. Observe: se você encontrar uma listagem de diretórios e explicar como ela pode levar a uma exploração maliciosa, nós a aceitaremos.

Ao enviar um relatório de vulnerabilidade à HCL, você concorda que a HCL pode usar qualquer informação fornecida por você em tal relatório para qualquer finalidade comercial da HCL (incluindo, mas não se limitando à reprodução da vulnerabilidade, correção da vulnerabilidade e fins gerais de desenvolvimento), sem exigir consentimento ou pagamento a você.

Além disso, é importante que você nos notifique se qualquer informação ou propriedade intelectual associada não for seu próprio trabalho ou estiver coberta por direitos de propriedade intelectual de terceiros. Não nos notificar significa que você declarou que nenhum direito de propriedade intelectual de terceiros está envolvido.

Obrigado por ajudar a manter a HCL e nossos clientes seguros!