Iniciar
Open mobile menu
pt
Minha conta Iniciar
Minha conta Iniciar

Política de divulgação de vulnerabilidades

Introdução

Na Criteo, a segurança de nossos produtos e serviços é de extrema importância. Nosso objetivo é proporcionar aos nossos clientes e usuários a melhor experiência possível, garantindo que as informações e os dados que nos são confiados estejam protegidos e seguros. Para tanto, acolhemos a divulgação responsável e ética de potenciais vulnerabilidades de segurança por parte de pesquisadores e do público em geral. Esta política estabelece nossas expectativas quanto à divulgação responsável de vulnerabilidades e o processo pelo qual elas serão tratadas.

Autorização

Se você cumprir esta política durante sua pesquisa, a Criteo considerará que suas ações são autorizadas e não tomaremos medidas legais contra você.

Nossos compromissos

Quando você nos comunicar um problema em conformidade com esta política:

  • Responderemos à sua denúncia em até 3 dias úteis e colaboraremos com você para entender e solucionar o problema.
  • Tomaremos as medidas para corrigir as vulnerabilidades relatadas o mais rápido possível, a menos que a vulnerabilidade se refira a um risco já reconhecido por nós.
  • Manteremos você informado sobre nosso progresso quanto à resolução do problema.
  • Manteremos confidenciais as informações sobre você e a vulnerabilidade que você divulgar, a menos que seja acordado o contrário.
  • Recompensaremos você de acordo com o que está descrito na seção de recompensas.

Diretrizes

Para que sua pesquisa seja considerada uma atividade autorizada sob esta política, você deve:

  • Agir de boa-fé e evitar o uso indevido dos sistemas e aplicativos de maneiras que prejudiquem a Criteo ou nossos clientes.
  • Avisar-nos assim que você descobrir um problema de segurança real ou potencial.
  • Divulgar o problema publicamente somente após implantarmos uma solução e mediante acordo mútuo. Esse acordo definirá o momento da divulgação e o nível de detalhamento a ser incluído.

e você não deve:

  • Acessar, modificar nem remover dados de contas que você não criou.
  • Utilizar ferramentas invasivas ou destrutivas de alta intensidade.
  • Enviar um grande volume de relatórios de baixa qualidade (como simplesmente colar os resultados de scanners).
  • Usar nenhum dos seguintes métodos de teste:
    • Testes de negação de serviço de rede (DoS ou DDoS) ou outros testes que prejudicam o acesso ou danificam um sistema ou dados.
    • Testes físicos (por exemplo, acesso ao escritório, portas abertas, tailgating).
    • Engenharia social (por exemplo, phishing, vishing) ou qualquer outro teste de vulnerabilidade não técnico.
  • Divulgar suas descobertas para terceiros sem autorização prévia por escrito da Criteo.
  • Utilizar um exploit para comprometer ou exfiltrar dados, estabelecer acesso persistente à linha de comando ou acessar outros sistemas. Os exploits devem ser usados apenas na medida necessária para confirmar a existência de uma vulnerabilidade. Se tiver alguma dúvida, informe-nos sobre o problema para confirmação.

Assim que confirmar a existência de uma vulnerabilidade ou encontrar qualquer dado sensível (incluindo PII, informações financeiras ou informações proprietárias e segredos comerciais de qualquer parte), você deve interromper seu teste, notificar-nos imediatamente e não divulgar esses dados a terceiros.

Escopo

Esta política se aplica a quaisquer ativos digitais de propriedade, operados ou mantidos pela Criteo. Isso exclui serviços de terceiros que podem ser acessados através de um de nossos subdomínios ou que estejam integrados a um de nossos produtos.

Um escopo detalhado e atualizado pode ser encontrado em nossa política BugCrowd.

Recompensas

A Criteo pode conceder reconhecimento e recompensas a qualquer pessoa que nos revele problemas de segurança de maneira responsável e ética, desde que cumpra esta política. O valor da recompensa, se houver, será determinado a nosso critério, com base em diversos parâmetros, incluindo a gravidade da vulnerabilidade, seu impacto e a qualidade do relatório.

Em geral, o valor da recompensa varia de US$ 175 para vulnerabilidades de baixo impacto a US$ 4.500 para as mais críticas.

Observe que todas as recompensas são gerenciadas através do nosso programa privado no BugCrowd; portanto, é necessária uma conta no BugCrowd para receber a recompensa.

Denunciando uma vulnerabilidade

Nossas recompensas por bugs são pagas exclusivamente através do BugCrowd. Para denunciar uma possível vulnerabilidade de segurança, crie um relatório nessa plataforma com uma descrição detalhada e as etapas para reproduzir o problema.

Se você ainda não faz parte do nosso programa privado de recompensas por bugs, envie um email para security@criteo.com com seu nome de usuário do BugCrowd e, caso atenda aos nossos critérios de elegibilidade, enviaremos um convite.

Para denunciar uma potencial vulnerabilidade de segurança, você também pode enviar um email para security@criteo.com com uma descrição detalhada, incluindo os passos para reproduzir o problema.

Clientes

Se você é cliente, observe que, além do nosso programa de recompensas por bugs, também realizamos testes de penetração regularmente, cujos resultados você pode solicitar à Criteo.

Perguntas

Se você tiver alguma dúvida sobre esta política ou sobre a segurança da informação na Criteo, envie um email para security@criteo.com.

Obrigado por seus esforços em manter a Criteo segura. Valorizamos sua ajuda para tornar nossos produtos e serviços mais seguros.