A RSA se esfor\u00e7a para ajudar nossos clientes a minimizar os riscos associados a vulnerabilidades de seguran\u00e7a em nossos produtos. Nosso objetivo \u00e9 fornecer aos clientes informa\u00e7\u00f5es, orienta\u00e7\u00f5es e op\u00e7\u00f5es de atenua\u00e7\u00e3o em tempo h\u00e1bil para lidar com as vulnerabilidades. A Equipe de Resposta a Incidentes de Seguran\u00e7a de Produtos da RSA (RSA PSIRT) foi criada e \u00e9 respons\u00e1vel por coordenar a resposta e a divulga\u00e7\u00e3o de todas as vulnerabilidades de produtos relatadas \u00e0 RSA.<\/p>\n
Se voc\u00ea identificar uma vulnerabilidade de seguran\u00e7a em qualquer produto da RSA, informe-nos imediatamente. Pesquisadores de seguran\u00e7a, grupos do setor, fornecedores e outros usu\u00e1rios que n\u00e3o t\u00eam acesso ao Suporte T\u00e9cnico devem enviar relat\u00f3rios de vulnerabilidade diretamente para a RSA\u00a0PSIRT por e-mail<\/a>. A identifica\u00e7\u00e3o oportuna de vulnerabilidades de seguran\u00e7a \u00e9 fundamental para reduzir os poss\u00edveis riscos para nossos clientes.<\/p>\n Os clientes e parceiros de produtos da RSA devem entrar em contato com suas respectivas equipes de Suporte T\u00e9cnico para relatar quaisquer problemas de seguran\u00e7a descobertos nos produtos da RSA. A equipe de Suporte T\u00e9cnico, a equipe de produto apropriada e o PSIRT da RSA trabalhar\u00e3o juntos para resolver o problema relatado e fornecer aos clientes as pr\u00f3ximas etapas.<\/p>\n Ao relatar uma poss\u00edvel vulnerabilidade, inclua o m\u00e1ximo poss\u00edvel das informa\u00e7\u00f5es abaixo para nos ajudar a entender melhor a natureza e o escopo do problema relatado:<\/p>\n A RSA acredita na manuten\u00e7\u00e3o de um bom relacionamento com os pesquisadores de seguran\u00e7a e, com sua concord\u00e2ncia, pode reconhecer o pesquisador por encontrar uma vulnerabilidade v\u00e1lida no produto e relatar o problema em particular. Em troca, pedimos que os pesquisadores nos d\u00eaem a oportunidade de corrigir a vulnerabilidade antes de divulg\u00e1-la publicamente. A RSA acredita que coordenar a divulga\u00e7\u00e3o p\u00fablica de uma vulnerabilidade \u00e9 fundamental para proteger nossos clientes.<\/p>\n De acordo com essa pol\u00edtica, todas as informa\u00e7\u00f5es divulgadas sobre vulnerabilidades devem ser mantidas entre a RSA e a parte informante - se as informa\u00e7\u00f5es ainda n\u00e3o forem de conhecimento p\u00fablico - at\u00e9 que uma solu\u00e7\u00e3o esteja dispon\u00edvel e as atividades de divulga\u00e7\u00e3o sejam coordenadas.<\/p>\n Ap\u00f3s investigar e validar uma vulnerabilidade relatada, tentaremos desenvolver e qualificar a solu\u00e7\u00e3o apropriada para os produtos com suporte ativo da RSA. Uma solu\u00e7\u00e3o pode assumir uma ou mais das seguintes formas:<\/p>\n A RSA se esfor\u00e7a ao m\u00e1ximo para fornecer a solu\u00e7\u00e3o ou a a\u00e7\u00e3o corretiva no menor tempo comercialmente razo\u00e1vel. Os prazos de resposta dependem de muitos fatores, como a gravidade, o impacto, a complexidade da solu\u00e7\u00e3o, o componente afetado (por exemplo, algumas atualiza\u00e7\u00f5es exigem ciclos de valida\u00e7\u00e3o mais longos ou s\u00f3 podem ser atualizadas em uma vers\u00e3o principal), o est\u00e1gio do produto em seu ciclo de vida e o status das opera\u00e7\u00f5es comerciais, entre outros.<\/p>\n Atualmente, a RSA usa o\u00a0Sistema de pontua\u00e7\u00e3o de vulnerabilidade comum<\/a>\u00a0vers\u00e3o 3.1 (CVSS v3.1) para comunicar as caracter\u00edsticas e a gravidade das vulnerabilidades de software da RSA. Muitos fatores, inclusive o n\u00edvel de esfor\u00e7o necess\u00e1rio para explorar uma vulnerabilidade, bem como o poss\u00edvel impacto nos dados ou nas atividades comerciais de uma explora\u00e7\u00e3o bem-sucedida, s\u00e3o levados em considera\u00e7\u00e3o.<\/p>\n O impacto geral de uma consultoria de seguran\u00e7a \u00e9 uma representa\u00e7\u00e3o textual da gravidade (ou seja, cr\u00edtica, alta, m\u00e9dia e baixa) que segue a Escala de Classifica\u00e7\u00e3o Qualitativa de Gravidade CVSS para a Pontua\u00e7\u00e3o Base CVSS mais alta de todas as vulnerabilidades identificadas. Quando e onde aplic\u00e1vel, a RSA fornecer\u00e1 um impacto geral para a consultoria e, para cada vulnerabilidade identificada, a Pontua\u00e7\u00e3o B\u00e1sica CVSS v3.1 e o Vetor CVSS v3.1 correspondente. A RSA recomenda que todos os clientes levem em conta a pontua\u00e7\u00e3o b\u00e1sica e quaisquer m\u00e9tricas temporais e\/ou ambientais que possam ser relevantes para seu ambiente para avaliar seu risco geral.<\/p>\n Normalmente, comunicamos as solu\u00e7\u00f5es aos clientes por meio dos RSA Security Advisories, quando aplic\u00e1vel. Para proteger nossos clientes, a RSA se esfor\u00e7a para liberar um Security Advisory assim que tivermos uma solu\u00e7\u00e3o implementada para qualquer produto afetado. A RSA pode liberar Avisos de Seguran\u00e7a mais cedo para responder adequadamente a divulga\u00e7\u00f5es p\u00fablicas ou vulnerabilidades amplamente conhecidas nos componentes usados em nossos produtos.<\/p>\n Os avisos de seguran\u00e7a t\u00eam o objetivo de fornecer detalhes suficientes para permitir que os clientes avaliem o impacto das vulnerabilidades e corrijam produtos potencialmente vulner\u00e1veis. Os detalhes completos podem ser limitados para reduzir a probabilidade de que usu\u00e1rios mal-intencionados possam tirar proveito das informa\u00e7\u00f5es e explor\u00e1-las em detrimento de nossos clientes.<\/p>\n Os avisos de seguran\u00e7a da RSA normalmente incluem as seguintes informa\u00e7\u00f5es, conforme aplic\u00e1vel:<\/p>\n A pol\u00edtica da RSA \u00e9 n\u00e3o fornecer informa\u00e7\u00f5es sobre as especificidades das vulnerabilidades al\u00e9m do que \u00e9 fornecido no Security Advisory e na documenta\u00e7\u00e3o relacionada, como notas de vers\u00e3o, artigos da base de conhecimento, perguntas frequentes, etc. N\u00e3o distribu\u00edmos c\u00f3digos de explora\u00e7\u00e3o\/prova de conceito para vulnerabilidades identificadas. De acordo com as pr\u00e1ticas do setor, a RSA n\u00e3o compartilha os resultados de seus testes internos de seguran\u00e7a ou outros tipos de atividades de seguran\u00e7a com entidades externas.<\/a><\/p>\n Se precisar relatar qualquer outro problema de seguran\u00e7a \u00e0 RSA, use os contatos apropriados listados abaixo:<\/p>\n\n
Manuseio de relat\u00f3rios de vulnerabilidade<\/h3>\n
Remedia\u00e7\u00e3o de vulnerabilidades<\/h3>\n
\n
Avalia\u00e7\u00f5es de impacto e gravidade<\/h3>\n
Comunica\u00e7\u00e3o da Remedy<\/h3>\n
\n
Informa\u00e7\u00f5es adicionais de divulga\u00e7\u00e3o<\/h3>\n
Notificar a RSA sobre outros problemas de seguran\u00e7a<\/h3>\n