Programa de divulgação responsável

Quando as correções de vulnerabilidades estão prontas, elas são enviadas aos clientes por meio de nosso ciclo regular de correção.

Visão geral

A ServiceNow leva a segurança muito a sério. Se você descobrir uma vulnerabilidade em nossos sistemas, produtos ou infraestrutura de rede, a ServiceNow agradece sua ajuda em divulgá-la à nossa empresa de maneira responsável. Observação: a ServiceNow não realiza quaisquer tentativas de auditoria ativa em nossa infraestrutura. Reconhecemos que as vulnerabilidades são descobertas incidentalmente. O conteúdo abaixo descreve as práticas recomendadas para enviar essas informações de vulnerabilidade.

Escopo

Observação: a ServiceNow não realiza quaisquer tentativas de auditoria ativa em nossa infraestrutura.

Este documento se aplica a vulnerabilidades técnicas nos produtos, serviços e sistemas de propriedade da ServiceNow. Ao informar vulnerabilidades, considere o cenário de ataque ou a explorabilidade, e o impacto de segurança do erro. Os domínios abaixo são exemplos de nossos ativos.

*.servicenow.com
*.service-now.com

Fora do escopo

  • Domínios/subdomínios fora do âmbito de testes aprovados.
  • Ataque de Denial of Service (DoS) relacionado a vulnerabilidades.
  • Vulnerabilidades descobertas por de ferramentas ou verificações automatizadas.
  • Vulnerabilidades que exigem acesso físico ao computador ou dispositivo de um usuário.
  • Vulnerabilidades nos sites de parceiros da ServiceNow.
  • Técnicas de spam ou engenharia social.
  • Ataques físicos contra escritórios ou data centers da ServiceNow.


Diretrizes

Siga as diretrizes abaixo ao divulgar vulnerabilidades.

  • Informe qualquer possível problema de segurança o mais rápido possível. A ServiceNow envidará todos os esforços para resolver rapidamente o problema.

  • Forneça detalhes suficientes para reproduzir a vulnerabilidade, incluindo comprovação do conceito.

  • É recomendado, mas não exigido, o uso do ReproNow para demonstrar a reprodutibilidade dos problemas.

  • Não divulgue um problema ao público ou a terceiros até que a ServiceNow o resolva.

  • Envide esforços de boa fé para evitar violações de privacidade, destruição de dados, e interrupção ou degradação do nosso serviço. Interaja apenas com as contas que sejam suas ou que você tem permissão explícita do titular dela.

  • Redija quaisquer linguagens ou imagens que podem identificar o programa ou os clientes da ServiceNow, a partir de informações de uma vulnerabilidade fixa.

  • Não participe de testes prejudiciais (como DoS) ou de qualquer ação que possa afetar a confidencialidade, integridade ou disponibilidade de informações e sistemas.

  • Não se envolva em engenharia social ou phishing de clientes ou funcionários.

  • Não solicite compensação por tempo e materiais ou vulnerabilidades descobertas pelo Programa de Divulgação Responsável.


Envios de vulnerabilidades

Para informar uma vulnerabilidade, envie um relatório (incluindo uma comprovação do conceito) para o e-mail disclosure@service-now.com. O assunto do e-mail deve incluir as palavras-chave "relatório", "vulnerabilidade" ou "erro". A ServiceNow tentará analisar e responder ao seu relatório dentro de 5 dias úteis a partir da data de envio.

Referências

 

Obrigado por ajudar a manter a ServiceNow e nossos usuários protegidos!

// Commenting on 02/23/2020 (Author -- Pranaya) // To fix the slow page load on prod //Check with Zan and Alex later to see if we can add through Launch // Commenting on 02/23/2020 (Author -- Pranaya) // To fix the slow page load on prod //Check with Zan and Alex later to see if we can add through Launch

Obrigado

Agradecemos o seu envio

form close button

Fale conosco

Gostaria de saber sobre os próximos eventos, produtos e serviços da ServiceNow. Entendo que posso cancelar a assinatura a qualquer momento.

  • Ao enviar este formulário, confirmo que eu li e concordo com a Declaração de privacidade.