Visão geral
A ServiceNow leva a segurança muito a sério. Se você descobrir uma vulnerabilidade em nossos sistemas, produtos ou infraestrutura de rede, a ServiceNow agradece sua ajuda em divulgá-la à nossa empresa de maneira responsável. A ServiceNow não tolera nenhuma tentativa de auditar ativamente nossa infraestrutura. Reconhecemos que as vulnerabilidades são descobertas ocasionalmente de forma incidental. O conteúdo abaixo descreve as práticas recomendadas para enviar essas informações de vulnerabilidade.
Escopo
Observação: a ServiceNow não realiza quaisquer tentativas de auditoria ativa em nossa infraestrutura.
Este documento se aplica a vulnerabilidades técnicas em produtos, serviços e sistemas de propriedade da ServiceNow. Ao relatar vulnerabilidades, considere o cenário de ataque ou a capacidade de exploração e o impacto de segurança do erro. Os domínios abaixo são exemplos de nossos ativos.
*.servicenow.com
*.service-now.com
Fora do escopo
- Domínios/subdomínios fora do âmbito de testes aprovados.
- Ataque de Denial of Service (DoS) relacionado a vulnerabilidades.
- Vulnerabilidades descobertas por de ferramentas ou verificações automatizadas.
- Vulnerabilidades que exigem acesso físico ao computador ou dispositivo de um usuário.
- Vulnerabilidades nos sites de parceiros da ServiceNow.
- Técnicas de spam ou engenharia social.
- Ataques físicos contra escritórios ou datacenters da ServiceNow.
Diretrizes
Siga as diretrizes abaixo ao divulgar vulnerabilidades.
Relate qualquer possível problema de segurança o mais rápido possível. A ServiceNow fará todos os esforços para resolver rapidamente o problema.
Forneça detalhes suficientes para reproduzir a vulnerabilidade, incluindo comprovação do conceito.
O uso do ReproNow para demonstrar a reprodutibilidade dos problemas é recomendado, mas não exigido.
Não divulgue um problema ao público ou a terceiros até que a ServiceNow o resolva.
Procure evitar violações de privacidade, destruição de dados e interrupção ou degradação de nosso serviço. Interaja apenas com as contas de sua propriedade ou para as quais você tenha permissão explícita do titular.
Redija quaisquer linguagens ou imagens que podem identificar o programa ou os clientes da ServiceNow, a partir de informações de uma vulnerabilidade fixa.
Não participe de testes prejudiciais (como DoS) ou de qualquer ação que possa afetar a confidencialidade, integridade ou disponibilidade de informações e sistemas.
Não participe de engenharia social ou phishing de clientes ou funcionários.
Não solicite compensação por tempo e materiais ou vulnerabilidades descobertas pelo Programa de Divulgação Responsável.
Envios de vulnerabilidade
Para relatar uma vulnerabilidade, envie um relatório (incluindo uma prova de conceito) para o e-mail disclosure@servicenow.com. A ServiceNow tentará analisar e responder à sua denúncia em até cinco dias úteis após o envio.
Referências
Obrigado por ajudar a manter a ServiceNow e nossos usuáros protegidos!