Política de denúncia de vulnerabilidade

Na Salesforce, a confiança é nosso principal valor e nós levamos a segurança de nossos clientes muito a sério.

A equipe de segurança da Salesforce reconhece o valioso papel que os pesquisadores independentes desempenham na segurança da internet. Em consequência disso, encorajamos a denúncia responsável de todas as vulnerabilidades que possam ser encontradas em nosso site ou aplicativos. A Salesforce tem o compromisso de trabalhar em conjunto com pesquisadores de segurança para verificar e consertar as vulnerabilidades em potencial que nos são denunciadas.

Revise estes termos antes de testar e/ou denunciar uma vulnerabilidade. O Salesforce se compromete a não instaurar ações judiciais contra esses pesquisadores por invadir ou tentar invadir nossos sistemas, desde que eles adiram a esta política.

Teste de vulnerabilidades na segurança:

Sempre que uma Trial ou Developer Edition for disponibilizada, você pode conduzir todos os testes de vulnerabilidade em tais instâncias. Sempre use contas de teste ou de demonstração quando testar nossos serviços online.

Denúncia de uma potencial vulnerabilidade na segurança:

  • Compartilhe privativamente os detalhes da vulnerabilidade suspeita com a Salesforce enviando um email para security@salesforce.com
  • Forneça detalhes pormenorizados da vulnerabilidade em questão de modo que a equipe de segurança da Salesforce possa validar e reproduzir o problema

A Salesforce não admite os seguintes tipos de pesquisa de segurança:

Incentivamos que você descubra e denuncie para nós, de um modo responsável, quaisquer vulnerabilidades que encontrar. Entretanto, a conduta a seguir é expressamente proibida:

  • Realizar ações que possam afetar negativamente a Salesforce ou seus usuários (por exemplo, spam, força bruta, negação de serviço…)
  • Acesso ou tentativa de acesso a dados ou informações pertencentes a terceiros
  • Destruição ou corrupção, ou tentativa de destruição ou corrupção, de dados ou informações pertencentes a terceiros
  • Conduzir qualquer tipo de ataque físico ou eletrônico contra a equipe, a propriedade ou o datacenter da Salesforce
  • Aplicar engenharia social em qualquer central de serviços, funcionários ou terceirizados da Salesforce
  • Conduzir testes de vulnerabilidade nos serviços participantes usando algo diferente das contas de teste (p. ex., Instâncias do Developer ou Trial Edition)
  • Violar alguma lei ou quebrar quaisquer contratos com a finalidade de descobrir vulnerabilidades

O compromisso da equipe de segurança da Salesforce:

Solicitamos que você não compartilhe com terceiros, nem divulgue para tais, quaisquer vulnerabilidades não resolvidas. Se você enviar uma denúncia de vulnerabilidade, a equipe de segurança da Salesforce e as organizações de desenvolvimento associadas farão o possível para:

  • Responder em tempo hábil, acusando o recebimento da denúncia
  • Fornecer um cronograma estimado para análise da denúncia de vulnerabilidade
  • Enviar uma notificação assim que a vulnerabilidade for resolvida

Temos o prazer de agradecer a todos os pesquisadores individuais que enviam denúncias de vulnerabilidade, ajudando-nos a melhorar nossa postura de segurança geral na Salesforce.