Última atualização: 5 de setembro de 2019
A Kraken Security Labs realiza rotineiramente pesquisas sobre a segurança de aplicativos, hardware e produtos comumente usados. A pesquisa é feita para instruir e proteger os usuários finais desses serviços e produtos. Esta política descreve como a Kraken Security Labs lida com a divulgação responsável de vulnerabilidades quando descobrimos vulnerabilidades de segurança em produtos e serviços de terceiros.
A Kraken Security Labs notificará o fornecedor apropriado sobre uma falha de segurança em seus produtos e/ou serviços. A primeira tentativa de contato será por meio de todos os contatos apropriados ou mecanismos formais listados no site do fornecedor. Se essas informações de contato não forem publicadas, a Kraken Security Labs fará o melhor possível para localizar um meio de contato apropriado. Depois que um mecanismo de contato formal ou apropriado for encontrado, as informações pertinentes sobre a vulnerabilidade serão transmitidas com segurança ao fornecedor.
Se o fornecedor não confirmar a notificação inicial dentro de 5 (cinco) dias úteis, a Kraken Security Labs iniciará um segundo contato com o fornecedor. Se a Kraken Security Labs esgotar todos os meios acima para entrar em contato com o fornecedor, poderá emitir um comunicado público, divulgando suas descobertas 15 (quinze) dias úteis após a tentativa de contato inicial.
Se uma resposta do fornecedor for recebida dentro do prazo descrito acima, a Kraken Security Labs solicitará que o fornecedor especifique um prazo desejado para a correção. A Kraken Security Labs concederá ao fornecedor até 90 (noventa) dias corridos para resolver a vulnerabilidade com uma correção. No final do prazo ou antes (se notificado pelo fornecedor), se a vulnerabilidade tiver sido corrigida, ou se o fornecedor não responder ou não puder fornecer uma declaração razoável sobre por que a vulnerabilidade não foi corrigida, a Kraken Security Labs publicará um comunicado disponível de forma pública, incluindo recomendações de atenuação em um esforço para proteger os usuários finais.
A Kraken Security Labs envidará todos os esforços para trabalhar com fornecedores, de modo a garantir que eles entendam os detalhes técnicos e a gravidade de uma falha de segurança relatada. Se um fornecedor de produto não puder, ou escolher não corrigir uma falha de segurança específica, a Kraken Security Labs poderá se oferecer para trabalhar com esse fornecedor afim de divulgar publicamente a falha com algumas soluções alternativas eficazes.
Caso a Kraken Security considere que é apropriado alertar imediatamente o público em geral sobre uma vulnerabilidade, devido ao risco ou segurança para o usuário final de um produto ou serviço, a Kraken Security Labs deverá, simultaneamente, aconselhar o fornecedor e o público em geral sobre suas constatações. Em comunicação com o fornecedor, a Kraken Security Labs listará os fatores usados para decidir publicar imediatamente suas constatações.