Valorizamos a pesquisa responsável em matéria de segurança e o feedback dos clientes. Se você acredita ter encontrado uma potencial vulnerabilidade de segurança em qualquer uma das soluções da Gallagher Animal Management, informe-nos para que possamos corrigi-la. Oferecemos um canal de comunicação claro através de este formulário, comprometa-se a comunicar em tempo hábil e ofereça um porto seguro de boa-fé para seguir estas diretrizes.

Se uma vulnerabilidade de segurança relatada afetar um produto de terceiros usado em nossas soluções, entraremos em contato com o fornecedor responsável, protegendo suas informações. 

Definições

Vulnerabilidade – comportamento funcional de um produto ou serviço que viola uma política de segurança implícita ou explícita. 
Divulgação – ato de fornecer inicialmente informações sobre vulnerabilidades a uma parte que se acredita não ter conhecimento prévio sobre elas. 
Coordenação – conjunto de atividades que incluem identificar e envolver as partes interessadas, mediar, comunicar e outros planos de apoio à divulgação de vulnerabilidades.
Remediação – alteração feita em um produto ou serviço para remover ou mitigar uma vulnerabilidade. 
Aviso –um documento ou mensagem destinado a informar outras pessoas sobre uma vulnerabilidade, incluindo, se possível, como identificar e corrigir sistemas vulneráveis. 

O programa de divulgação de vulnerabilidades aplica-se às soluções de software Gallagher Animal Management. 

Métodos de divulgação 

Nossa preferência é que você nos informe sobre uma vulnerabilidade de segurança de forma privada, preenchendo este formulário. Podemos optar por publicar os detalhes da vulnerabilidade; no entanto, isso é feito a critério da Gallagher Animal Management, e não do pesquisador de segurança ou do cliente. Isso significa que algumas vulnerabilidades podem nunca ser tornadas públicas. 

Neste momento, não aceitamos denúncias anônimas; valorizamos a colaboração. Tenha em mente que o anonimato limita o envolvimento em discussões sobre divulgação. 

O que você não deve fazer 

A Gallagher Animal Management considera as seguintes atividades potencialmente prejudiciais ou inúteis para a segurança dos nossos produtos específicos. 

• Engenharia social, incluindo phishing.  
• Ataques de força bruta.  
• Ataques de negação de serviço (DoS/DDoS).  
• Acessar dados ou informações que não lhe pertencem.   
• Destruir ou corromper dados ou informações que não lhe pertencem.  
• Publicar ou compartilhar com outras pessoas vulnerabilidades ou quaisquer informações pessoais que você tenha obtido. Não queremos que outras pessoas tentem explorar a vulnerabilidade.   
• Compartilhar ou publicar qualquer informação obtida da Gallagher Animal Management durante este processo, pois isso pode causar danos a indivíduos e ser considerado uma violação, expondo você a responsabilidades legais.  
• Adulteração do hardware Gallagher. 
  
  

Tipos de vulnerabilidades fora do escopo 

A Gallagher Animal Management considera as seguintes classes de vulnerabilidade fora do escopo: 

• Mensagens de erro detalhadas sem impacto significativo  
• Problemas relacionados a versões de navegador não suportadas  
• Métodos de solicitação HTTP inseguros/ausentes  
• Uso de bibliotecas conhecid
• Clickjacking sem impacto comprovado 
• Problemas com registros SPF/DKIM/DMARC  
  
  

O que nos informar 

Forneça o máximo de informações possível em este formulário. Se precisar de ajuda, envie-nos um e-mail para am.techsupport@gallagher.com. 

No formulário, inclua: -  

• Seus dados de contato (nome, endereço de e-mail, organização, função - cliente/pesquisador de segurança).  
• Inclua instruções claras e detalhadas, bem como qualquer código de prova de conceito (PoC) relevante que demonstre como reproduzir a vulnerabilidade. Se forem necessários detalhes adicionais para verificar ou replicar sua descoberta, entraremos em contato com você para esclarecimentos.  
• Quaisquer observações incomuns/não consideradas normais antes do incidente   
• Produto e versões afetados  
• Configurações afetadas  
• Se informações pessoais foram expostas 
  • Oculte todas as informações pessoais antes de denunciar. 
  • O que aconteceu com as informações pessoais expostas.  
• Se a vulnerabilidade foi compartilhada com outras pessoas ou publicada.  
• Quaisquer referências ou leituras adicionais que possam ser apropriadas.  
• Recomendação sobre como a questão poderia ser mitigada ou resolvida.  
• Assistência na nova verificação do problema após a implementação da correção. 
   

O que faremos 

 

• Confirmaremos o recebimento do seu e-mail em até 5 dias úteis. 
• Revise o relatório que você apresentou e valide suas conclusões.  
• Entraremos em contato com você pelo endereço de e-mail fornecido para compartilhar os resultados de nossa investigação e quaisquer medidas que tenhamos tomado. Caso você tenha fornecido etapas de resolução, nós as analisaremos e levaremos em consideração como parte de nossa resposta.  
• Priorize as correções com base na gravidade e no risco; algumas correções podem depender de terceiros e levar mais tempo. Forneceremos atualizações periódicas até o encerramento.   
• Considere iniciar a assistência para testar novamente o problema após a implementação da correção (se necessário).  
• Atualmente, não operamos um programa de divulgação de vulnerabilidades monetárias; quando uma denúncia for nova, estiver dentro do escopo e você tiver seguido estas diretrizes, poderemos oferecer um brinde de agradecimento, sujeito à disponibilidade e às leis aplicáveis.  
  
  

Porto seguro 

• A Gallagher Animal Management reconhece e valoriza o importante papel desempenhado pelos pesquisadores de segurança independentes e pelos nossos clientes em ajudar a manter nossas soluções seguras.  
• Não tomaremos medidas legais nem recorreremos às autoridades policiais apenas por nos reportar uma vulnerabilidade de segurança, desde que você aja de boa-fé, cumpra esta diretriz e evite danos ou perturbações.  
• Quando você nos reportar uma vulnerabilidade de segurança, iniciaremos as etapas descritas na seção “O que faremos”. Durante esse processo de divulgação, gerenciaremos todas as informações confidenciais com o máximo sigilo e seguiremos internamente o princípio da necessidade de saber. Da mesma forma, pedimos que você: - 
  • Mantenha sigilo absoluto. Não compartilhe a vulnerabilidade com ninguém, a menos que tenhamos dado aprovação por escrito. Se você acredita que outra pessoa precisa ser informada, envie um e-mail para am.techsupport@gallagher.com e legal@gallagher.com e um gerente de segurança da informação autorizado da Gallagher ou um membro da equipe jurídica entrará em contato com você.    
  • Se precisar esclarecer essas diretrizes, envie um e-mail para am.techsupport@gallagher.com 
  • Por favor, entenda que, se a vulnerabilidade de segurança envolver outro fornecedor que não seja a Gallagher Animal Management, não podemos autorizar pesquisas de segurança em seu nome ou renunciar aos seus direitos; esse terceiro pode determinar se deseja tomar medidas legais.   
  • Cumpra todas as leis e regulamentos aplicáveis.  
  • Entre em contato conosco pelo am.techsupport@gallagher.com antes de se envolver em condutas que possam ser inconsistentes ou não abrangidas por esta diretriz. Podemos recusar a proteção de porto seguro para atividades maliciosas, imprudentes, fora do escopo ou não conformes e nos reservamos o direito de determinar se uma violação desta diretriz é acidental ou de boa-fé.  
    
     

Privacidade e proteção de dados 

Trataremos todas as informações pessoais contidas no seu relatório de acordo com a nossa declaração de privacidade e as leis aplicáveis em matéria de privacidade e proteção de dados. Quando exigido por lei, notificaremos a autoridade competente e as pessoas afetadas. 

 

Alterações a esta diretriz 

Podemos atualizar esta diretriz. Quando o fizermos, publicaremos a nova versão nesta página.

Se desejar esclarecer alguma dúvida, envie um e-mail para am.techsupport@gallagher.com.