A CloudBlue se esforça muito para garantir a segurança e a confiabilidade de todos os produtos CloudBlue. Para trazer segurança ao nosso Ciclo de Vida de Desenvolvimento de Software (SDLC), seguimos as Modelo de Maturidade do Software Assurance (SAMM). Nosso SDLC seguro garante que as atividades de garantia de segurança, como testes de penetração, revisão de código e análise de arquitetura, sejam parte integrante do esforço de desenvolvimento.

Equipe de Segurança

Temos uma equipe dedicada responsável pela segurança dos produtos CloudBlue. Desde o início do desenvolvimento, a equipe de segurança participa de revisões de projeto para definir os requisitos de segurança juntamente com os requisitos funcionais e realizar análises de risco de arquitetura.

A equipe de segurança colabora com os desenvolvedores diariamente e está constantemente procurando por quaisquer problemas de segurança na base de código CloudBlue. A equipe de segurança também cria a infraestrutura de segurança para Secure SDLC. Para detectar os problemas mais comuns, usamos a verificação automática integrada em nossos pipelines de desenvolvimento de software:

  • Toda vez que um novo código é enviado para um repositório, uma verificação automática do Static Application Security Testing (SAST) é executada.
  • Para as instâncias implantadas dos produtos CloudBlue, uma verificação do Dynamic Application Security Testing (DAST) é realizada para detectar problemas de segurança em tempo de execução.
  • A execução do Software Composition Analysis (SCA) é usada para garantir que não enviamos nosso produto com dependências vulneráveis. Ele rastreia automaticamente as dependências de terceiros e suas licenças para cada componente. Cada vulnerabilidade conhecida deve ser corrigida antes do lançamento.

Além disso, quando um novo recurso é desenvolvido, a equipe de segurança revisa manualmente seu código-fonte e realiza testes dinâmicos usando diferentes ferramentas padrão do setor.

Treinamentos de segurança

Como parte da prática SAMM Education & Guidance, todas as pessoas que participam do ciclo de vida do software são instruídas sobre como desenvolver e implantar software seguro. Nossos desenvolvedores estão cientes dos riscos de segurança comuns descritos no OWASP Top Ten, e nossas equipes de P&D passam por treinamentos regulares para reforçar os tópicos de segurança usando plataformas de treinamento comercial, bem como aulas e materiais desenvolvidos internamente. O treinamento é realizado anualmente e solicitado sob demanda.

Também demos um passo adiante ao adotar a iniciativa Security Champions. Os campeões de segurança são membros ativos de uma equipe com interesse em segurança e desejo de contribuir para a segurança de nosso produto. Eles atuam como um elemento de suporte no processo de garantia de segurança e têm a função de Ponto Único de Contato (SPOC) dentro de suas equipes.

Open Web Application Security Project (OWASP)

O código aberto é ótimo! Acreditamos que o uso de ferramentas e padrões abertos orientados pela comunidade é uma parte essencial do desenvolvimento de software seguro, especialmente a longo prazo. É por isso que adotamos várias ferramentas OWASP, as tornamos parte de nosso SDLC seguro e tornamos o OWASP SAMM o núcleo de nosso SDLC seguro. Usando código aberto, nosso objetivo é:

  • Beneficie-se do código aberto usando padrões e ferramentas orientados pela comunidade.
  • Contribua para o código aberto verificando se ele se adapta às soluções corporativas.

Para tornar o aspecto de segurança dos produtos CloudBlue mais transparente, seguimos Padrão de verificação de segurança do aplicativo (ASVS). ASVS é uma estrutura orientada para a comunidade de requisitos e controles de segurança que se concentra na definição dos controles de segurança funcionais e não funcionais necessários para projetar, desenvolver e testar aplicativos e serviços da Web modernos. Não tratamos este padrão como uma fonte imutável de verdade, mas sim como um ponto de partida para uma discussão sobre um tópico de segurança.

Teste de penetração externa

Quando enviados aos clientes, nossos produtos se tornam parte de sua infraestrutura, aumentando a potencial superfície de ataque. É por isso que nossos clientes solicitam regularmente que suas próprias equipes de segurança ou externas realizem testes de penetração em nossos produtos para garantir que a segurança geral de sua infraestrutura não seja afetada. Os relatórios desses testes nos dão a chance de ver do ponto de vista do cliente e entender melhor suas necessidades e exigências.

Criptografia

Tomamos um conjunto de medidas para garantir que os dados em nossos produtos sejam criptografados.

Aleatoriedade

Todos os valores que precisam ser aleatórios, como chaves de criptografia geradas aleatoriamente e vetores de inicialização, são gerados usando um gerador de pseudonúmeros criptograficamente seguro.

Além da fonte adequada de aleatoriedade, o seguinte tamanho mínimo de dados aleatórios é usado:

ObjetivoEntropia Mínima (bits)
Chaves criptográficas128+
vetor IV128+
ID da sessão80+

Criptografia simétrica

O CloudBlue Commerce usa o algoritmo Advanced Encryption Standard (AES) para criptografar dados conforme recomendado pelo National Institute of Standards and Technology (NIST) para uso de armazenamento de longo prazo e porque geralmente é incluído como parte dos requisitos de conformidade do cliente.

Usamos os seguintes modos AES:

  • AES no modo Galois/Counter Mode (GCM)
  • AES no modo Cipher Block Chaining (CBC) com um código de autenticação de mensagem com hash (HMAC)

CifraObjetivoFormato de Armazenamento
AES-128-CBC com IV aleatórioArmazenar dados confidenciais$AES-128-CBC${IV}${Dados criptografados em BASE64}
AES-128-GCM com Nonce único aleatórioArmazene e envie dados confidenciais$AES-128-GCM${Nonce}${Dados criptografados em BASE64}
AES-128-CBC-HMAC com IV aleatórioArmazene e envie dados confidenciais$AES-128-CBC${IV}${Dados criptografados em BASE64}${HMAC BASE64}

Segurança de transporte

Para fornecer transferência segura de dados pela rede, o CloudBlue Commerce usa o TLS 1.2 com os seguintes conjuntos de cifras:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

FDA

Estamos constantemente trabalhando para expandir a cobertura de conformidade. Atualmente, somos certificados pela ISO27001:2013.

A CloudBlue tem políticas e procedimentos em vigor para demonstrar a conformidade com o GDPR e os termos do Código de Conduta do Cloud Security Alliance GDPR da CloudBlue e nossos subprocessadores. Para demonstrar conformidade, a CloudBlue pode fornecer as evidências listadas abaixo:

  • Autoavaliação STAR disponível no site da Cloud Security Alliance
  • Versão pública da Política de Segurança da Informação e Políticas de suporte
  • Certificado ISO 27001 (requer um NDA)
  • Declaração de privacidade: https://corp.ingrammicro.com/en-us/legal/privacy

Privacidade de dados e proteção de dados

Sendo a CloudBlue uma organização operada globalmente, cumpre diferentes leis e regulamentos de privacidade de dados, incluindo o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Código de Conduta GDPR da Cloud Security Alliance. Incorporamos as medidas de segurança técnicas e organizacionais necessárias e salvaguardamos a proteção dos direitos do titular dos dados.

Ao usar os Serviços, você concorda que podemos usar os Dados de acordo com nossa Declaração de Privacidade, disponível aqui.

Cada parte reconhece e concorda em cumprir a legislação de proteção de dados e privacidade aplicável ao cumprimento destes Termos (“Leis de Proteção de Dados”), como, sem limitação, conforme aplicável, a Lei de Privacidade do Consumidor da Califórnia (“CCPA”) e a Regulamento Geral de Proteção de Dados da União (Regulamento (UE) 2016/679) ("GDPR"), inclusive ao usar, manusear, divulgar, transferir, compartilhar ou processar de qualquer forma e para qualquer finalidade, qualquer informação relacionada a um indivíduo (“Dados Pessoais”) recebidos de ou em nome da outra parte, durante a vigência destes Termos. Todos os Dados Pessoais divulgados por uma parte e processados ​​pela outra parte como parte destes Termos são informações confidenciais da parte divulgadora e estão sujeitos às obrigações de confidencialidade estabelecidas na cláusula 9 destes Termos.

Você reconhece que pode aproveitar certas funcionalidades de recursos da Plataforma para gerar informações e dados do usuário final para as operações comerciais necessárias. Se quaisquer dados do usuário final forem solicitados e disponibilizados ou acessíveis a você, seus funcionários, agentes ou contratados, você cumprirá integralmente todas as leis, regulamentos e ordens governamentais aplicáveis, incluindo aqueles relacionados a Dados Pessoais e/ou informações de identificação pessoal ( “PII”) e privacidade de dados com relação a quaisquer dados que você receba ou tenha acesso sob estes Termos ou em conexão com o desempenho de quaisquer outros serviços que você ou um cliente receba. Você protegerá as PII de outra forma e não usará, divulgará ou transferirá essas PII além das fronteiras, a menos que autorizado pelo titular dos dados ou de acordo com as leis aplicáveis. Na medida em que você receber PII relacionadas ao desempenho destes Termos, você protegerá a privacidade e os direitos legais de qualquer terceiro.

Não obstante qualquer disposição em contrário nestes Termos, a CloudBlue pode copiar, modificar, distribuir e usar os Dados Pessoais recebidos de ou em seu nome na medida necessária para fornecer a Plataforma e os Serviços. Você garante e declara que já possui ou obterá, conforme aplicável, e manterá em vigor todas as permissões, consentimentos e autorizações exigidas pelas leis aplicáveis ​​para fornecer ou providenciar o fornecimento de Dados Pessoais para Nuvem Azul. Você declara e garante que tem plena capacidade e direito legal de fornecer e disponibilizar Dados Pessoais à CloudBlue conforme contemplado por estes Termos. Você não irá, por qualquer ato ou omissão, colocar a CloudBlue em violação de suas obrigações legais sob a legislação aplicável de proteção de dados e privacidade e em conexão com estes Termos.

Na medida em que a CCPA se aplica ao cumprimento destes Termos pelas partes, os Dados Pessoais usados ​​nestes Termos incluem todas as “informações pessoais” conforme esse termo é definido na CCPA. Cada parte reconhece e concorda que, com relação ao compartilhamento de tais Dados Pessoais com a CloudBlue sob estes Termos, a CloudBlue é um “prestador de serviços” conforme esse termo é definido na CCPA. Com relação aos Dados Pessoais que consistem em “informações pessoais” conforme esse termo é definido na CCPA, a CloudBlue certifica que entende que é proibido (a) vender esses Dados Pessoais (como “vender” é definido na CCPA), (b) reter, usar ou divulgar esses Dados Pessoais para qualquer finalidade que não seja a finalidade específica de executar os Serviços ou conforme permitido pela CCPA, incluindo reter, usar ou divulgar os Dados Pessoais para fins comerciais que não sejam fornecer os Serviços e (c) reter, usar ou divulgar os Dados Pessoais fora de seu relacionamento comercial direto com você.

CloudBlue usa o algoritmo Advanced Encryption Standard (AES) para criptografar dados em repouso. Todos os dados no nível de armazenamento são criptografados com AES256 por padrão. O tráfego é criptografado em trânsito usando Transport Layer Security 1.2 (TLS) com uma cifra AES-256 padrão do setor. TLS é um conjunto de protocolos criptográficos padrão do setor usados ​​para criptografar informações que são trocadas pela rede.

A disponibilidade é garantida aproveitando nossa infraestrutura na camada premium do Azure, que oferece alta disponibilidade por meio de redundância regional.

GDPR e processamento de dados pessoais

Para fins de processamento de Dados Pessoais originários do Espaço Econômico Europeu, que está sujeito ao GDPR, a CloudBlue concorda em incorporar sob esta cláusula 11.2 um contrato de processamento de dados (doravante "DPA"), cujos termos são parte integrante destes Termos e aplica-se apenas se e na medida em que a CloudBlue estiver processando Dados Pessoais como parte do fornecimento da Plataforma e dos Serviços (coletivamente “Serviços em Nuvem”).

Os termos usados ​​neste DPA, mas não definidos neste documento (se houver), têm os significados estabelecidos nestes Termos, no GDPR ou no CCPA, conforme aplicável, respectivamente.

Cada parte reconhece e concorda que, na medida em que os Dados Pessoais estejam sujeitos ao GDPR, o cliente é o “controlador de dados” desses Dados Pessoais que a CloudBlue processa em seu nome e a CloudBlue é o “processador de dados”.

Na medida em que a CloudBlue “processa” (como esse termo é definido no GDPR) Dados Pessoais sujeitos ao GDPR em nome do cliente, a CloudBlue deve:

  • Somente processe os Dados Pessoais fornecidos pelo cliente de acordo com suas instruções, para nenhum outro propósito além daqueles determinados pelo cliente, conforme necessário para cumprir suas obrigações estabelecidas nestes Termos e para cumprir uma obrigação legal.

Se, no entanto, a qualquer momento durante a execução deste DPA e destes Termos, a CloudBlue estabelecer que as instruções do cliente pareçam de alguma forma ilegais ou não conformes com a legislação aplicável, a CloudBlue deverá notificar o cliente sem demora injustificada e aguardar mais instruções.

Tomar medidas razoáveis ​​para garantir a confiabilidade dos funcionários que têm acesso aos Dados Pessoais processados ​​como parte do cumprimento das obrigações sob estes Termos e que todos os funcionários a quem a CloudBlue divulga Dados Pessoais estejam cientes de que os Dados Pessoais são informações confidenciais e estão sujeitos à obrigações estabelecidas neste DPA e nestes Termos.

  • Tendo em conta o estado da arte, os custos de implementação, a natureza, âmbito, contexto e finalidades do tratamento e a natureza dos Dados Pessoais, bem como o risco e gravidade para os direitos e liberdades das pessoas singulares, tomar e manter durante a execução deste DPA medidas técnicas e organizacionais apropriadas contra o processamento não autorizado ou ilegal desses Dados Pessoais e contra a perda ou destruição acidental ou danos aos Dados Pessoais. Informações adicionais sobre as medidas de segurança implementadas pela CloudBlue estão disponíveis na cláusula 10 acima destes Termos e mediante solicitação por escrito à CloudBlue. Ao aceitar estes Termos e este DPA, o cliente concorda com as medidas de segurança adotadas e implementadas pela CloudBlue.
  • Informar o mais rapidamente possível o cliente de qualquer pedido de um titular de dados para exercer os seus direitos de acesso, retificação, alteração, restrição de tratamento ou eliminação (“direito a ser esquecido”), portabilidade de dados, oposição ao tratamento dos Dados Pessoais dessa pessoa Dados ou qualquer outra solicitação do titular dos dados, avisos de terceiros, violações de dados pessoais ou perda de Dados Pessoais do cliente e auxiliar e cooperar com o cliente para impedir quaisquer consequências e garantir o cumprimento das Leis de Proteção de Dados aplicáveis. O cliente arcará com os custos não razoáveis ​​incorridos pela CloudBlue relacionados a tal assistência e cooperação.
  • Fornecer assistência razoável ao cliente para permitir que ele cumpra suas obrigações sob as Leis de Proteção de Dados, incluindo, mas não limitado a solicitações de titulares de dados, na medida em que o cliente não tenha acesso às informações relevantes e na medida em que tais informações estão disponíveis para CloudBlue. A CloudBlue fornecerá assistência razoável ao cliente na cooperação ou consulta prévia com a autoridade supervisora ​​em relação ao desempenho de suas tarefas sob este DPA, na medida exigida pelas Leis de Proteção de Dados. O cliente arcará com os custos relacionados a tal assistência.
  • Após a rescisão destes Termos, cessará todo o processamento dos Dados Pessoais do cliente e deverá excluir ou, mediante solicitação do cliente, devolver todos os arquivos que contenham os Dados Pessoais, a menos que a retenção dos Dados Pessoais seja exigida por lei. O cliente arcará com o custo relacionado a tal devolução ou exclusão de dados. A CloudBlue fornece Assistência de Rescisão durante o Período de Rescisão Pós-Permitido aos clientes (conforme aplicável)
  • Quaisquer alterações relativas aos serviços de nuvem relevantes serão comunicadas aos clientes por e-mail ou gerentes de contas técnicas
  • A CloudBlue permanece responsável perante nossos clientes pelo cumprimento das obrigações de nosso subprocessador.
  • A CloudBlue compartilhará os contratos firmados com nossos subprocessadores, em parte, mediante solicitação do cliente, quando necessário para demonstrar conformidade.
  • Os clientes CloudBlue podem receber diretamente uma cópia dos dados pessoais que forneceram, em conexão com o serviço prestado, em um formato estruturado, comumente usado, legível por máquina e interoperável
  • Os usuários autorizados podem solicitar através do portal do cliente que a CloudBlue exclua todos os registros do cliente por meio de uma exclusão do banco de dados. A CloudBlue apenas excluirá os dados do cliente sob instruções explícitas dos clientes de acordo com nossos termos padrão A CloudBlue retornará os dados em um formato padrão ao cliente (controlador de dados) mediante solicitação, sem custo adicional.

O cliente reconhece e concorda que a CloudBlue pode precisar subcontratar qualquer uma de suas operações de processamento de Dados Pessoais do cliente para suas afiliadas ou terceiros subcontratados localizados em diferentes países. Para este efeito, ao aceitar os termos e condições deste DPA e destes Termos, o cliente concede à CloudBlue uma autorização geral para usar subcontratados, se necessário, para garantir o desempenho dos Serviços Cloud, as obrigações da CloudBlue sob estes Termos ou para garantir o cumprimento obrigações legais. Para evitar dúvidas, a CloudBlue somente subcontratará suas operações de processamento sob este DPA e estes Termos de acordo com os requisitos das Leis de Proteção de Dados aplicáveis. Mediante solicitação por escrito do cliente, a CloudBlue fornecerá ao cliente uma lista dos subcontratados envolvidos no processamento de Dados Pessoais. O cliente reconhece e concorda que a CloudBlue pode precisar transferir, divulgar ou permitir o acesso aos Dados Pessoais processados ​​como parte da prestação dos Serviços em Nuvem para suas afiliadas ou subcontratadas localizadas em diferentes países, inclusive fora do Espaço Econômico Europeu (“EEE ”) com o objetivo de garantir o desempenho dos Serviços Cloud e das obrigações da CloudBlue sob este DPA e estes Termos ou para garantir o cumprimento de uma obrigação legal. Ao aceitar os termos e condições deste DPA e destes Termos, o cliente concorda com tais transferências de dados. Uma lista dos locais de transferência de dados pode ser fornecida ao cliente mediante solicitação por escrito à CloudBlue. Para evitar dúvidas, a CloudBlue concorda que qualquer divulgação, acesso ou transferência para fora do EEE de Dados Pessoais do cliente processados ​​de acordo com o presente será realizado em conformidade com as Leis de Proteção de Dados aplicáveis.

O cliente não deve fornecer o processamento, transferir ou conceder acesso à CloudBlue a quaisquer Dados Pessoais, a menos que, quando necessário, o titular dos dados tenha dado seu consentimento para o processamento de seus Dados Pessoais de acordo com as Leis de Proteção de Dados. O cliente reconhece e concorda que tem a responsabilidade exclusiva de fornecer as informações de transparência necessárias e obter todos os consentimentos necessários dos titulares dos dados para o processamento de Dados Pessoais sob este DPA e estes Termos. O cliente garante e declara que, quando tal transparência de informações e consentimento são necessários, o cliente forneceu tais informações e obteve o consentimento do titular dos dados e, mediante solicitação por escrito, cópias de tais consentimentos serão fornecidas à CloudBlue antes da transferência dos Dados Pessoais para em processamento.

A CloudBlue concorda em se submeter a auditorias ou ter um auditor independente, inspetor, regulador e outro representante, designado por escrito pelo cliente para realizar uma auditoria em nome do cliente para validar a conformidade da CloudBlue com suas obrigações sob este DPA, entretanto, tal auditoria só poderá ser solicitada com aviso prévio por escrito de 30 (trinta) dias úteis e executada nos meses seguintes (julho, agosto e setembro) e apenas uma vez a cada 12 (doze) meses. Esse auditor, inspetor, regulador ou outro representante terceirizado designado pelo cliente estará sujeito a um contrato de confidencialidade fornecido à CloudBlue antes da auditoria. A CloudBlue fornecerá ao cliente, para fins de auditoria e mediante solicitação por escrito, as informações razoáveis ​​necessárias para demonstrar o cumprimento das obrigações da CloudBlue sob este DPA, excluindo quaisquer informações, documentos ou registros relacionados às relações comerciais da CloudBlue com terceiros ou os documentos ou registros já auditados pelo cliente nos últimos 12 (doze) meses. O cliente deve realizar qualquer inspeção em uma data mutuamente acordada, durante o horário normal de trabalho e sem interferir no curso das operações comerciais da CloudBlue. Todas essas auditorias serão de responsabilidade exclusiva do cliente.

Não obstante qualquer disposição em contrário nestes Termos, o cliente deverá indenizar e isentar a CloudBlue de qualquer responsabilidade, perdas, reclamações, penalidades, danos, custos e despesas de qualquer natureza, inclusive se impostas pela autoridade supervisora ​​à CloudBlue e decorrentes de qualquer reclamações, ações, processos ou acordos, resultantes da violação ou não conformidade do cliente com os termos e condições deste DPA, estes Termos e/ou com as Leis de Proteção de Dados aplicáveis.

Este DPA entrará em vigor a partir da data de execução destes Termos e permanecerá em pleno vigor e efeito durante a vigência destes Termos. Este DPA será rescindido automaticamente com a rescisão ou expiração dos Termos.

Informações de processamento de dados

A. As categorias de titulares de dados cujos Dados Pessoais podem ser processados ​​neste documento incluem, mas não estão limitados a:

  1. funcionários do cliente que possuem contas na Plataforma
  2. revendedores, sub-revendedores e o usuário final

B. O tipo de Dados Pessoais processados ​​pode incluir: Nome, Sobrenome, Endereço, E-mail, Número de Telefone e qualquer outra informação que possa ser solicitada e disponibilizada à CloudBlue pelo cliente para fins de prestação do Serviço.

C. Os Dados Pessoais serão, em qualquer caso, processados ​​para fins de execução dos Serviços.

D. Os Dados Pessoais serão processados ​​durante a vigência dos Termos e conforme exigido pelas Leis de Proteção de Dados.

E. A pessoa de contato da CloudBlue em relação a esta Seção onze (11) é:

Nome: Aaron Mendelsohn Ingram Micro Data Protection Officer

E-mail: privacy@ingrammicro. com.

Como relatar uma preocupação de segurança

Sobre a política

Fornecer um alto nível de segurança do produto é uma das principais prioridades da CloudBlue. Acreditamos que a transparência da avaliação de segurança nos ajudará, equipes de segurança externas e nossos clientes a estar no mesmo comprimento de onda quando se trata de segurança no CloudBlue. Estamos prontos para trabalhar com qualquer pessoa que envie relatórios de vulnerabilidade de boa fé, conforme descrito nesta seção. É por isso que formalizamos o processo de tratamento de vulnerabilidades de segurança.

Pesquisa

Pedimos a todos que sigam estas regras ao pesquisar:

  • Cumpra as leis aplicáveis ​​e todos os requisitos de licença de software aplicáveis.
  • Faça todos os esforços para evitar violações de privacidade, interrupção de sistemas de produção, degradação de desempenho e perda de dados durante os testes de segurança.
  • Use os canais de comunicação identificados para nos relatar informações de vulnerabilidade.
  • Mantenha as informações sobre quaisquer vulnerabilidades que você descobriu confidenciais entre você e a CloudBlue até que tenhamos 90 dias para resolver o problema.

Critérios de vulnerabilidade

Explorabilidade é nosso critério geral para começar a tratar um problema como uma vulnerabilidade. Em outras palavras, consideramos um bug como uma vulnerabilidade se o bug puder causar um impacto na confidencialidade, integridade ou disponibilidade de nosso produto. Em qualquer outro caso, tratamos como um bug normal e os prazos fornecidos na seção Análise não são aplicáveis.

Pelo termo “atacante”, queremos dizer um agente malicioso que tenta impactar negativamente a confidencialidade, integridade ou disponibilidade de nosso produto. Presumimos que um invasor seja um especialista altamente qualificado com conhecimento profundo de nosso produto e sua arquitetura interna e que as medidas de segurança que se enquadram no princípio de segurança por meio da obscuridade não terão nenhum efeito.

Todo bug deve ser corrigido. No entanto, o procedimento para corrigir um bug é diferente de corrigir uma vulnerabilidade. Na seção Exclusões abaixo, você pode encontrar os problemas relatados com mais frequência que não são vulnerabilidades do nosso ponto de vista e são posteriormente tratados como bugs regulares.

Não Inclui:

  • Exposição de rastreamento de pilha.
  • Exposição de endereços IP internos.
  • Declarações de que o software está desatualizado ou vulnerável sem código de exploração de prova de conceito.
  • Vulnerabilidades que não podem ser usadas sem envolver os usuários do CloudBlue Commerce, por exemplo, self-xss ou fazer com que um usuário cole o código JavaScript no console do navegador.
  • Relatórios não validados de scanners automatizados de vulnerabilidades da Web, como Acunetix, Owasp Zap e Burp Suite.
  • Incompatibilidades de protocolo.
  • Painéis de login expostos.
  • Faltam sinalizadores de cookie em cookies sem autenticação.
  • Problemas que afetam apenas os agentes do usuário ou versões do aplicativo desatualizadas. Consideramos explorações apenas nas versões mais recentes do navegador para Safari, Mozilla Firefox, Google Chrome, Microsoft Edge e Internet Explorer.
  • Problemas que exigem acesso físico ao computador ou dispositivo da vítima.
  • Divulgação do caminho.
  • Problemas de captura de banner: descobrir qual servidor da Web usamos, qual versão está em uso e assim por diante.
  • Relatórios altamente especulativos sobre danos teóricos.

Procedimento de Relatório

Report

Para relatar uma vulnerabilidade de segurança que afeta os produtos CloudBlue, entre em contato com a equipe CloudBlue Application Security. Respondemos a essas denúncias em até três dias úteis.

Informe as seguintes informações:

  • Uma descrição da vulnerabilidade, incluindo o código de exploração de prova de conceito ou rastreamentos de rede (se disponível).
  • Detalhes do produto afetado, incluindo a versão do produto e o componente afetado.
  • Publicidade de vulnerabilidade, ou se já foi divulgada publicamente.

Todos são incentivados a relatar vulnerabilidades descobertas, independentemente dos contratos de serviço ou do status do ciclo de vida do produto. A CloudBlue recebe relatórios de vulnerabilidade de pesquisadores, grupos do setor, CERTs, parceiros e qualquer outra fonte, pois a CloudBlue não exige um acordo de confidencialidade como pré-requisito para receber relatórios. A CloudBlue respeita os interesses da parte denunciante (as denúncias podem ser anônimas mediante solicitação) e concorda em lidar com qualquer vulnerabilidade que se acredite razoavelmente estar relacionada aos produtos CloudBlue na seção Escopo. A CloudBlue segue as práticas de Divulgação Coordenada de Vulnerabilidades (CVD) e, para proteger o ecossistema, solicitamos que aqueles que se reportam a nós façam o mesmo.

Para mais informações sobre CVD, consulte o seguinte documento: O Guia CERT para Divulgação Coordenada de Vulnerabilidades.

Análise

Primeiro, a equipe de segurança do aplicativo CloudBlue investiga e reproduz a vulnerabilidade. Se necessário, a CloudBlue solicitará mais informações ao relator.

Durante esta etapa, a equipe de segurança de aplicativos CloudBlue realiza as seguintes ações:

  • Analisa o impacto com base nos requisitos de segurança existentes, no escopo e no contexto da vulnerabilidade.
  • Executa o estágio de exploração da vulnerabilidade.
  • Calcula a gravidade da vulnerabilidade usando a pontuação CVSS v3.1.

Com base nos resultados, a equipe de segurança de aplicativos atribui um dos seguintes níveis de gravidade à vulnerabilidade:

  • Crítico: Vulnerabilidades que não podem ser atenuadas por soluções de segurança e exigem uma versão de hotfix em uma semana.
  • Médio: Vulnerabilidades que podem ser atenuadas por soluções de segurança existentes, por exemplo, WAF, mas exigem uma versão de hotfix em três semanas.
  • Baixa: Vulnerabilidades e problemas que podem ser resolvidos na versão mais próxima do nosso produto. A versão do hotfix pode ser lançada em mais de três semanas.

Manipulação

A CloudBlue realiza o tratamento interno de vulnerabilidades em colaboração com os grupos de desenvolvimento responsáveis. Durante esse período, uma comunicação regular é mantida entre a CloudBlue e a parte denunciante para informar uns aos outros sobre o status atual e para garantir que a parte denunciante entenda a posição da CloudBlue. Se disponível, uma correção de software pré-lançada pode ser fornecida à parte relatora para verificação.

Divulgação

Depois que o problema for analisado com sucesso e se for necessária uma correção, as correções correspondentes serão desenvolvidas e preparadas para distribuição. A CloudBlue usará os processos existentes de notificação do cliente para gerenciar o lançamento de patches, que podem incluir notificação direta ao cliente ou divulgação pública de um aviso de segurança contendo todas as informações necessárias.

Uma nota do CloudBlue Security Advisory geralmente contém as seguintes informações:

  • A descrição da vulnerabilidade e sua pontuação CVSS v.3.1.
  • A descrição do impacto.
  • A lista de produtos afetados conhecidos e versões de software ou hardware.
  • Informações sobre fatores atenuantes e soluções alternativas.
  • A localização das correções disponíveis.

Objetivo

  • Plataforma de Comércio CloudBlue
  • Plataforma CloudBlue Connect

Fora do escopo

Ambientes de infraestrutura com componentes relacionados às operações do produto:

  • Configuração incorreta do sistema operacional e vulnerabilidades.
  • Quaisquer serviços de terceiros ou serviços hospedados por provedores de terceiros.
  • Descobertas para aplicativos ou sistemas não listados na seção 'Escopo'.
  • Erros de UI e UX e erros de ortografia.
  • Vulnerabilidades de negação de serviço (DoS/DDoS) em nível de rede.
  • Descobertas de testes físicos, como acesso ao escritório, por exemplo, portas abertas ou tailgating.
  • Descobertas derivadas principalmente de engenharia social, por exemplo, phishing.

Para proteger sua privacidade, por favor, nunca passe à CloudBlue qualquer informação que possamos reconhecer como:

  • Informações de identificação pessoal (PII);
  • Dados do titular do cartão de crédito.

Información de contacto

Se você acredita ter encontrado uma vulnerabilidade de segurança em um de nossos produtos, envie-nos um e-mail para security@cloudblue.com.

Inclua os seguintes detalhes em seu relatório:

  • A descrição da localização e o impacto potencial da vulnerabilidade.
  • Uma descrição detalhada das etapas necessárias para reproduzir a vulnerabilidade. Código de exploração de prova de conceito, capturas de tela e capturas de tela compactadas são úteis para nós.
  • Seu nome ou apelido e um link para reconhecimento em nosso Hall da Fama ou um pedido de anonimato.

Por favor, use nossa chave PGP quando possível para criptografar seu relatório:

—–INICIAR BLOCO DE TECLAS PÚBLICAS PGP—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAwECHgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —–FIM DO BLOCO DE TECLAS PÚBLICAS PGP—–

CloudBlue, uma Ingram Micro Business usa Cookies para melhorar a usabilidade do nosso site. Ao continuar a usar este site e/ou fazer login, você está aceitando o uso desses cookies. Para mais informações, visite nosso Política de Privacidade.
EU ACEITO