Comunicar um Problema de Segurança ou Privacidade

Faculte todas as informações aplicáveis no formulário, incluindo detalhes suficientes do seu problema específico. Categorize o seu problema com uma das seguintes opções:

  • Vulnerabilidade do Software ArcGIS: comunique uma vulnerabilidade encontrada no ArcGIS Online ou num produto Esri.
  • Problema de Privacidade: Produto de Software ArcGIS: se tiver um problema de privacidade relacionado com as nossas aplicações, como o ArcGIS Online ou outro produto fornecido pela Esri.
  • Problema de Privacidade: Empresa Esri: se tiver um problema de privacidade relacionado com a nossa organização, como materiais de marketing ou o site empresarial Esri.com.
  • Problema de Privacidade: Site ou URL Não Seguro: denuncie o abuso da marca Esri. Incluindo domínios enganadores que supostamente estão ligados à Esri, fornecedores de software clandestino da Esri ou sites de phishing que visam clientes ou funcionários da Esri
  • Outro - para todos os outros problemas relacionados com segurança, privacidade ou conformidade.

Os seus dados de contacto serão usados apenas para dar seguimento às informações que forneceu.

A PSIRT Esri fornece uma chave PGP pública para usar ao comunicar com a nossa equipa. Use esta chave ao fornecer detalhes de vulnerabilidades de software à Esri.

Política de Comunicação de Vulnerabilidades

A Equipa de Resposta a Incidentes de Segurança de Produto (PSIRT) da Esri reconhece o papel valioso que os investigadores de segurança independentes desempenham na segurança da Internet. Encorajamos a comunicação responsável de quaisquer vulnerabilidades que possam ser encontradas no nosso site ou aplicação. A Esri está comprometida em trabalhar com a comunidade de segurança para verificar e responder a quaisquer potenciais vulnerabilidades que nos sejam comunicadas. A Esri não irá entrar com nenhuma ação judicial nem iniciar uma investigação policial contra si se esta política for seguida.

A Esri não permite os seguintes tipos de investigação de segurança

  • Causar ou tentar causar uma condição Denial of Service (DoS).
  • Usar ferramentas de segurança automatizadas sem o consentimento explícito da Esri. A utilização de ferramentas automatizadas pode resultar numa ação investigativa ou no bloqueio do(s) seu(s) IP(s).
  • Aceder ou tentar aceder a dados ou informações que não lhe pertencem.
  • Destruir ou corromper ou tentar destruir ou corromper dados ou informações que não lhe pertencem.

Pesquisadores, Raiz e CNA:

  • A Esri é a Autoridade de Numeração CVE (CVE Numbering Authority – CNA) registada para o âmbito dos produtos de software da Esri.
  • A Esri atribui identificadores CVE para vulnerabilidades de acordo com diretrizes de divulgação coordenada de vulnerabilidades.
  • A Esri irá publicar avisos sobre vulnerabilidades quando estiverem disponíveis patches que resolvam a vulnerabilidade identificada.
  • Os patches são fornecidos para software com disponibilidade geral e suporte prolongado no âmbito do ciclo de vida do produto da Esri.
  • Não são fornecidos patches para software em estado de suporte de fase final ou descontinuado.
  • Os clientes que utilizam software em estado final ou descontinuado devem atualizar para uma versão atual do software para corrigir vulnerabilidades de segurança que são corrigidas de acordo com o ciclo de vida do produto da Esri.

Vulnerabilidades de Componentes de Terceiros

O Software Esri contém frequentemente bibliotecas e binários de terceiros ou de código aberto. Antes de submeter um pedido para validar como é que um possível problema de segurança num componente de terceiros afeta o software Esri, consulte o Documento de resposta CVE de componente de terceiros da Esri localizado no separador Documentos.

O compromisso da Equipa de Resposta a Incidentes de Segurança de Produto

Para todos os investigadores de segurança que seguem esta Política de Comunicação de Vulnerabilidades, a Equipa de Resposta a Incidentes de Segurança de Produto compromete-se a:

  • Responder atempadamente, acusando a receção da sua comunicação.
  • Indicar um prazo estimado para lidar com essa vulnerabilidade.
  • Notificar a pessoa que comunicou a situação quando a vulnerabilidade for corrigida.
Investigadores de segurança participantes

Gostaríamos de agradecer aos seguintes investigadores de segurança por participarem no nosso programa de comunicação de resposta:

  • Smit B. Shah (@smitshah92)
  • Roberto S. Liverani
  • Or Peles (@peles_o)
  • Roee Hay (@roeehay)
  • Cameron Dawe (@Spam404Online)
  • Dan Kelley (@0x041AA)
  • Jesse Clark (@Hogarth45_ND)
  • Harry Taylor (@GordSchramm)
  • Eusebiu Blindu (@testalways)
  • Francesc Rodriguez (@0katz)
  • Faizan Ahmed
  • Christopher Schaefer
  • Christoph Kisfeld
  • Jimmy Bruneel (@tigerincup)
  • Ekzhin Ear
  • Almog Cygel @almogcygel
  • Gustavo Silva @silva95gustavo
  • Elwood Buck
  • Peter Davies
  • Kusol Watchara-Apanukorn
  • Francis Provencher {PRL}
  • Simon Zuckerbraun
  • rgod
  • Moaaz Taha
  • Mark Belbin
  • Pedro Pinho
  • Adam Willard
  • Greg Gibson
  • Theologos Kokkinellis
  • Andrew Salazar
  • Hussein Bahmad
  • Simone La Porta
  • David M. Chavez
  • Fredrik Ljung
  • Tran Van Khang
  • Philipp Mao
  • Felix Aeppli
  • David Green
  • Félix B
  • Yasser Gamal
  • Miguel Fale
  • Incibe
  • Seyavan
  • Félix Comtois-Boutet
  • Christophe Schleypen
  • Filip Waeytens
  • Christopher Robberts
  • Lekshman R
  • Justin Hocquel
  • Antonin B
  • Lucas Machado (@0x1ucxs)
  • Milos Savic
  • Ash King (@AshleyKingUK)
  • Adam Crompton (@3nc0d3r)
  • David Sardonini Jr.
  • Erez Kalman
  • Cláudia Picoito

Se estiver a solicitar a validação de uma análise de vulnerabilidades automatizada para o Software Esri, consulte as nossas Orientações e requisitos para análises automatizadas. Se estiver preocupado com um componente de terceiros descoberto no ArcGIS, reveja a nossa aplicação de resposta de CVE de componentes de terceiros
(Ambas requerem o início de sessão no ArcGIS).
Se a vulnerabilidade em questão não for encontrada na aplicação de resposta a vulnerabilidades de componentes de terceiros, verifique se o problema se encontra no catálogo de vulnerabilidades exploráveis conhecidas (KEV) da US CISA.
As análises apresentadas sem cumprir estes pré-requisitos serão rejeitadas.

Submeter