Menu
Feedback
Comece aqui
Tutoriais
Perguntas frequentes
Problemas conhecidos
Troubleshooting
Diretivas de suporte
Comunicados
Status
Portal do desenvolvedor
Reportar vulnerabilidade
Reportar vulnerabilidade

Nossos clientes são encorajados a reportar, de modo responsável, quaisquer vulnerabilidades de segurança que acreditam ter encontrado durante o uso comum da plataforma.

Aqueles que desejarem reportar uma vulnerabilidade devem antes trabalhar com suas próprias equipes de segurança e desenvolvimento para realizar uma avaliação de segurança e eliminar falsos positivos ou problemas oriundos de configurações personalizadas. Somente casos compatíveis com a definição de vulnerabilidade serão verificados.

Consulte o documento Práticas de Segurança da VTEX e nossa FAQ de Segurança antes de reportar qualquer vulnerabilidade. Estes documentos esclarecem nossos processos e ajudam a eliminar falsos positivos.

Após esse procedimento, caso haja uma vulnerabilidade, siga estes passos:

  1. Baixe o modelo para comunicação de vulnerabilidades.
  2. Preencha o modelo de comunicação de vulnerabilidades com os detalhes de cada vulnerabilidade encontrada. Adicione o maior número possível de detalhes para explicar a suspeita identificada, disponibilizando evidências e imagens que nos ajudem a compreender, reproduzir e validar o problema.

As vulnerabilidades devem ser reportadas individualmente, seguindo o modelo estabelecido. Caso tenha encontrado mais de uma vulnerabilidade em seu teste, preencha múltiplos modelos e anexe ao seu chamado.

Todas as informações devem ser preenchidas e são importantes para a avaliação. Comunicações de vulnerabilidade fora do padrão estabelecido não serão endereçadas pelo time de Segurança da VTEX.

  1. Abra uma solicitação para o nosso Suporte para registrar o aviso de vulnerabilidade de segurança. Não esqueça de anexar o modelo de comunicação de vulnerabilidades preenchido neste chamado.
  2. Salve o número do seu chamado, pois você poderá precisar dele em futuras comunicações.

Definição de vulnerabilidade

A VTEX considera uma vulnerabilidade de segurança qualquer falha em um dos nossos componentes que possa permitir que a confidencialidade, integridade ou disponibilidade de produto ou infraestrutura seja comprometida de alguma forma.

Não consideramos como uma vulnerabilidade os seguintes casos:

  • Presença ou ausência de cabeçalhos HTTP (X-Frame-Options, CSP, nosniff, entre outros).
  • Ausência de atributos de segurança em cookies.
  • Problemas relacionados a cache.
  • Mensagens de erro de stack.
  • Injeção de conteúdo por usuários administrativos.
  • Partes customizadas da loja.
  • Preenchimento automático ativado.

Resposta da VTEX

A VTEX não se compromete a responder a relatórios em massa gerados por verificadores automatizados. Caso sua análise se baseie em um processo automatizado de identificação de vulnerabilidades, recomendamos que os relatórios sejam analisados por um profissional de segurança para garantir a validade do que foi encontrado antes de comunicar as vulnerabilidades à VTEX.

A VTEX se compromete a responder os avisos recebidos pelo Suporte o mais breve possível, notificar sobre a correção de vulnerabilidades ou fornecer motivos coerentes pelos quais análises ou correções eventualmente não possam ser realizadas.

A VTEX está dedicada a analisar, verificar e solucionar quaisquer vulnerabilidades que nos sejam relatadas e possam comprometer a sua segurança.

Contribuidores
1
Photo of the contributor
+ 1 contributors
Isso foi útil?
Sim
Não
Sugerir edições (GitHub)
​​Plano de resposta a incidentes de segurança
« Anterior
Certificados de segurança da informação e privacidade da VTEX
Próximo »
Contribuidores
1
Photo of the contributor
+ 1 contributors
Nesta página
Ainda tem dúvidas?
Pergunte à comunidade
Encontre soluções e compartilhe ideias na comunidade VTEX.
Junte-se à nossa comunidade
Solicite suporte à VTEX
Para assistência personalizada, entre em contato com nossos especialistas.
Abra um ticket de suporte
GithubDeveloper portalComunidadeFeedback