No sentido de melhorar a sua segurança, o Agrupamento de Escolas de Vila Pouca de Aguiar acolhe com agrado as informações dos investigadores de segurança e do público em geral. Se acredita ter descoberto uma vulnerabilidade, questão de privacidade, problema de exposição de dados, ou outras questões de segurança em qualquer dos nossos recursos, queremos sabê-lo. A presente Política descreve os passos para nos comunicar vulnerabilidades, o que esperamos, e o que pode esperar de nós.
A presente política não constitui e não é representativa de um programa para bug bounty.
Sistemas abrangidos
A presente Política aplica-se a:
- A todo o Sistema de Informação e Comunicação do Agrupamento de Escolas de Vila Pouca de Aguiar
- Todos os sistemas do Agrupamento de Escolas de Vila Pouca de Aguiar orientados para a Internet
- Não consideramos a pura ausência de um elemento de segurança como uma vulnerabilidade de segurança.
- Não temos interesse em achados que sejam gerados por scanners automatizados – cabeçalhos HTTP em falta, configurações TLS, “Cookie flags”, “Clickjacking”, etc., exceto se os puder utilizar para criar uma exploração PoC significativa.
Sistemas não abrangidos
Itens gerais fora do âmbito
- Ataques de “negação de serviço”
- Engenharia social
- “Phishing”
- Acesso físico às instalações Agrupamento de Escolas de Vila Pouca de Aguiar ou às instalações dos parceiros Agrupamento de Escolas de Vila Pouca de Aguiar
- Bens ou outros equipamentos que não sejam propriedade das partes que participam na presente Política
As vulnerabilidades descobertas ou suspeitas em sistemas fora de âmbito devem ser comunicadas ao fornecedor apropriado ou à autoridade aplicável.
Itens especiais dentro do âmbito
- www.avpa.pt – website principal – com base no Typo3, só estamos interessados em vulnerabilidades críticas, como a “Remote Code Execution (RCE)”
Os nossos compromissos
Ao trabalhar connosco, de acordo com a presente Política, pode esperar que nós:
- Respondamos prontamente à sua denúncia, e trabalhemos consigo para compreender e validar a sua denúncia
- Nos esforcemos por mantê-lo informado sobre o progresso de uma vulnerabilidade, à medida que ela é processada
- Trabalhemos para remediar as vulnerabilidades descobertas de forma atempada, dentro dos nossos constrangimentos operacionais
- Ampliemos o “Safe Harbor” para a sua pesquisa de vulnerabilidade que esteja relacionada com a presente Política
As nossas expectativas
Ao participar de boa-fé no nosso Programa de Divulgação de Vulnerabilidades, pedimos-lhe que:
- Respeite as regras, inclusive o cumprimento da presente Política e de outros acordos relevantes. Se houver alguma inconsistência entre a presente Política e outro termo aplicável, prevalecerão os termos da presente Política
- Denuncie prontamente qualquer vulnerabilidade identificada
- Evite a infração da privacidade dos outros, a perturbação dos nossos sistemas, a destruição de dados, e/ou o prejuízo da experiência do utilizador
- Utilize apenas os Canais Oficiais para trocar informações connosco sobre a vulnerabilidade
- Efetue testes apenas em sistemas de âmbito interno, e que respeite os sistemas e atividades que estejam fora do âmbito
- Se uma vulnerabilidade proporcionar o acesso não intencional aos dados: limite a quantidade de dados a que tem acesso ao mínimo necessário para demonstrar eficazmente uma Prova de Conceito; e suspenda os testes e apresente um relatório de imediato se encontrar qualquer dado do utilizador durante os testes, tal como Informação Pessoal Identificável (PII), Informação Pessoal de Saúde (PHI), dados de cartão de crédito, ou informação proprietária
- Apenas interaja com as contas teste que possua ou com autorização explícita do titular da conta
- Não pratique extorsão
Política de Divulgação
Divulgação coordenada: os detalhes da vulnerabilidade podem ser partilhados com terceiros após a vulnerabilidade ter sido corrigida e o Proprietário do Programa ter dado permissão para a divulgação.
Canais Oficiais
Por favor, utilize os nossos canais oficiais para comunicar questões de segurança, disponibilizando as informações relevantes. Quanto mais detalhes nos fornecer, mais fácil será para nós fazer a triagem e corrigir a questão.
Os canais oficiais são:
- Sistema de Helpedesk https://avpa.pt/suporte/ – opção Programa de Divulgação de Vulnerabilidades
- E-mail: administrador@avpa.pt
“Safe Harbor”
Ao realizarmos uma investigação sobre a vulnerabilidade, de acordo com a presente Política, consideramos que a investigação realizada no âmbito da presente Política é:
- Autorizada no que diz respeito a todas as leis de “anti-hacking” aplicável, e não iniciaremos ou apoiaremos qualquer ação legal contra si por infrações acidentais e de boa-fé a esta Política
- Autorizada relativamente a todas as leis de “anti-evasão” relevantes, e não apresentaremos qualquer queixa contra si por evasão aos comandos tecnológicos
- Isenta de restrições nos nossos Termos de Serviço e/ou Política de Utilização Aceitável que interfiram na realização de investigação de segurança, e renunciamos a essas restrições numa base limitada
- Lícita, útil para a segurança geral da Internet, e conduzida de boa-fé
Espera-se, como sempre, que cumpra com todas as leis aplicáveis. Se for iniciada uma ação judicial por terceiros contra si e se tiver cumprido esta Política, tomaremos medidas para dar a conhecer que as suas ações foram conduzidas em conformidade com a presente Política.
Se, em algum momento, tiver preocupações ou incertezas quanto à consistência da sua investigação de segurança com esta Política, antes de prosseguir, envie um relatório através de um dos nossos Canais Oficiais.
Legal
A Agrupamento de Escolas de Vila Pouca de Aguiar reserva-se o direito de alterar os termos e condições da presente Política e a sua participação constitui a aceitação de todos os termos. Por favor, consulte esta página periodicamente, conforme atualizamos rotineiramente os termos da nossa Política e elegibilidade, que são efetivos no momento da sua publicação. Reservamo-nos o direito de cancelar a presente Política a qualquer momento.
Feedback
Se desejar proporcionar algum feedback ou sugestões para esta política, por favor contacte-nos para o administrador@avpa.pt
Agradecemos por ajudar a manter-nos o Sistema de Informação e Comunicação e os seus utilizadores seguros.
Versão: 05/02/2024
Email: agrupamento.vilapouca@avpa.pt
Telefone: 259 419 480
Morada: Av.ª Dr. Carlos Alberto de Sousa,
5450-003 Vila Pouca de Aguiar