Visão geral
A ServiceNow leva a segurança muito a sério. Se descobrir uma vulnerabilidade em nossos sistemas, produtos ou infraestrutura de rede, a ServiceNow agradece sua ajuda em divulgá-la para nossa empresa de maneira responsável. A ServiceNow não tolera nenhuma tentativa de auditar ativamente a infraestrutura. Reconhecemos que as vulnerabilidades são descobertas acidentalmente. O conteúdo a seguir descreve as práticas recomendadas para o envio de informações de vulnerabilidade.
Escopo
Observação: a ServiceNow não tolera nenhuma tentativa de auditar ativamente a infraestrutura.
Este documento se aplica a vulnerabilidades técnicas em produtos, serviços e sistemas de propriedade da ServiceNow. Ao relatar vulnerabilidades, considere o cenário de ataque ou a capacidade de exploração e o impacto do erro na segurança. Os domínios abaixo são exemplos de nossos ativos.
*.servicenow.com
*.service-now.com
Fora do escopo
- Domínios/subdomínios fora do escopo de teste aprovado.
- Vulnerabilidades relacionadas a DoS (Denial of Service, ataque de negação de serviço).
- Vulnerabilidades descobertas por de ferramentas ou verificações automatizadas.
- Vulnerabilidades que exigem acesso físico ao computador ou dispositivo de um usuário.
- Vulnerabilidades em sites de parceiros da ServiceNow.
- Spam ou técnicas de engenharia social.
- Ataques físicos contra escritórios ou datacenters da ServiceNow.
Diretrizes
Siga as diretrizes abaixo ao divulgar vulnerabilidades.
Informe qualquer possível problema de segurança o mais rápido possível. A ServiceNow envidará todos os esforços para resolver rapidamente o problema.
Forneça detalhes suficientes para reproduzir a vulnerabilidade, incluindo comprovação do conceito.
É recomendado, mas não exigido, o uso do ReproNow para demonstrar a reprodutibilidade dos problemas.
Não revele um problema ao público ou a terceiros até que a ServiceNow o resolva.
Procure evitar violações de privacidade, destruição de dados e interrupção ou degradação de nosso serviço. Interaja apenas com contas de sua propriedade ou contas para as quais você tenha permissão explícita do titular.
Redija quaisquer linguagens ou imagens que podem identificar o programa ou os clientes da ServiceNow, a partir de informações de uma vulnerabilidade fixa.
Não se envolva em testes disruptivos (como DoS) ou qualquer ação que possa afetar a confidencialidade, integridade ou disponibilidade de informações e sistemas.
Não se envolva em engenharia social ou phishing de clientes ou funcionários.
Não solicite compensação por tempo e materiais ou vulnerabilidades descobertas por meio do Programa de divulgação responsável.
Envios de vulnerabilidade
Para relatar uma vulnerabilidade, envie um relatório (incluindo uma prova de conceito) para o e-mail disclosure@service-now.com. O assunto do e-mail deve incluir as palavras-chave "relatar", "vulnerabilidade" ou "erro". A ServiceNow tentará analisar e responder à sua denúncia em até cinco dias úteis após o envio.
Referências
Obrigado por ajudar a manter a ServiceNow e nossos usuários seguros!