Divulgação Responsável de Vulnerabilidades
No Grupo Norfin, a segurança dos nossos ativos digitais é uma prioridade. Implementamos medidas de proteção e auditorias regulares para garantir a sua integridade. Se identificar uma potencial vulnerabilidade nos nossos serviços ou produtos, pedimos que nos informe de forma responsável e o mais brevemente possível.
Valorizamos e incentivamos todas as contribuições que reforcem a segurança dos nossos sistemas. Embora o nosso foco esteja nas equipas internas e nos parceiros, reconhecemos o papel da comunidade de cibersegurança. A identificação de vulnerabilidades, sejam elas potenciais ou confirmadas, poderá ser reconhecida publicamente, desde que autorizada pelos autores e a nosso critério. No entanto, não está prevista qualquer compensação financeira.
Para uma análise eficaz, solicitamos que os relatórios sejam o mais detalhados possível, incluindo a descrição da vulnerabilidade, o sistema afetado, os passos para a sua reprodução e informações de contacto. Além disso, qualquer descoberta deve permanecer confidencial até que a nossa equipa de segurança conclua a avaliação, aplique as medidas corretivas necessárias e autorize a sua divulgação. O incumprimento desta política poderá resultar em medidas legais.
Todas as vulnerabilidades reportadas serão avaliadas pela nossa equipa, classificadas segundo a sua gravidade e impacto potencial, e tratadas de acordo com a prioridade definida.
Práticas não autorizadas
Não são permitidas atividades de pesquisa que envolvam:
- Ataques Denial of Service (DoS) e Distributed Denial of Service (DDoS);
- Engenharia social, spam, phishing ou qualquer exploração de recursos humanos;
- Acesso não autorizado a contas, modificação ou extração de dados;
- Acesso físico a propriedades ou centros de dados;
- Distribuição ou armazenamento de vírus, malware ou outro software malicioso.
Agradecemos o contributo de todos para um ecossistema digital mais seguro.