Política de divulgação responsável
Nós do Sprout Social levamos a sério a segurança dos dados de nossos usuários. Sugerimos que quem encontrar potenciais vulnerabilidades de segurança em um serviço Sprout Social nos informe de maneira responsável. Esta Política de Divulgação Responsável descreve as etapas para relatar vulnerabilidades e o que você pode esperar da nossa parte.
Nosso compromisso com você
Para todas as pessoas que denunciam suspeitas de vulnerabilidades com base nesta Política de Divulgação Responsável, o Sprout Social se compromete a:
- Manter confidencialidade com você
- Confirmar o recebimento do seu relatório em tempo hábil
- Avaliar a validade dos relatos e analisar a gravidade e o impacto
- Notificar o reparo da vulnerabilidade
- Declarar publicamente sua divulgação responsável, se você assim desejar
Escopo, diretrizes e exclusões
O Sprout Social tem parceria com a Bugcrowd para nosso Programa de Divulgação de Vulnerabilidades (“VDP”). Os ativos que fazem parte do escopo estão indicados na seção Escopo da página do VDP da Bugcrowd do Sprout Social.
Você só pode realizar testes de vulnerabilidades de segurança usando uma conta da qual você seja proprietário ou um representante autorizado pelo proprietário da conta a realizar esses testes.
Todos os testes devem ser realizados de acordo com esta Política de Divulgação Responsável, os Termos de Serviço do Sprout Social, Termos de Serviço os Termos de Divulgação Padrão da Bugcrowde todas as leis aplicáveis.
O Sprout Social proíbe os seguintes tipos de pesquisa e teste:
- Acessar intencionalmente, ou tentar acessar, dados que não pertencem a você
- Execução ou tentativa de execução de um ataque de negação de serviço (DoS/DDoS) ou de testes de estresse em aplicações, sistemas ou redes
- Envio ou tentativa de envio de e-mail não solicitado ou não autorizado, spam ou outras formas de mensagens indesejadas
- Realização de pesquisa por meio de engenharia social ou outros meios fraudulentos (ex.: phishing, vishing, smishing, manipulação de links)
- Testes de sites, aplicativos ou serviços de terceiros que se integrem ao Sprout Social
- Publicação, transmissão, carregamento, links, envio ou armazenamento consciente de qualquer malware, vírus ou software prejudicial semelhante
- Realização de qualquer forma de teste de segurança ou auditoria de locais físicos, inclusive, entre outros, os escritórios, data centers e estabelecimentos do Sprout Social
- Pesquisa realizada por menores de idade, indivíduos em listas de sanções ou indivíduos em países em listas de sanções
- Quaisquer atividades proibidas pelos Termos de Divulgação Padrão da Bugcrowd
Safe Harbor
O Sprout Social reserva todos os seus direitos legais em caso de não conformidade com esta Política de Divulgação Responsável, mas não pretende entrar com medidas judiciais contra partes que realizem pesquisas de segurança e nos divulguem informações de boa-fé, conforme documentado nesta Política.
Enviar sua denúncia de vulnerabilidade
Envie todas as suas suspeitas de vulnerabilidades pelo VDP da Bugcrowd em https://bugcrowd.com/sproutsocial.
As suspeitas de vulnerabilidades que forem informadas por outros meios, como e-mail, redes sociais ou plataforma de detecção de bugs diferente da Bugcrowd não serão aceitas.
Quando denunciar alguma suspeita de vulnerabilidade, inclua informações adequadas que nos permitam reproduzir seus passos e acompanhar.
Para proteger a privacidade e a segurança de nossos usuários:
- Não divulgue publicamente informações sobre quaisquer suspeitas de vulnerabilidades que você possa ter identificado sem o consentimento expresso, por escrito, do Sprout Social.
- Imediatamente após enviar sua denúncia, exclua/destrua quaisquer cópias locais ou em cache dos dados que você possa ter acessado ou recebido durante seus testes.
Recompensas/pagamento
Você pode ser elegível para uma recompensa se for a primeira pessoa a reportar uma vulnerabilidade específica, caso a vulnerabilidade seja validada pela Equipe de Segurança do Sprout Social e você tenha cumprido todos os termos, regras e restrições listados. A disponibilidade de quaisquer recompensas ou pagamentos fica a critério exclusivo do Sprout Social e são entregues exclusivamente por meio da plataforma Bugcrowd. O Sprout Social não garante, de forma explícita ou implícita, que quaisquer recompensas ou pagamentos serão oferecidos. Para mais informações, consulte nossa página da Bugcrowd em: https://bugcrowd.com/sproutsocial