Created with Sketch.

Recovery Email

Your account give you access to even more premium content, don't lose access to it. Provide a recovery email below.
  • Secondary E-mail

Programa de divulgação responsável

Quando as correções de vulnerabilidades estão prontas, elas são enviadas aos clientes por meio de nosso ciclo regular de correção.

Visão geral

A ServiceNow leva a segurança muito a sério. Se você descobrir uma vulnerabilidade em nossos sistemas, produtos ou infraestrutura de rede, a ServiceNow agradece sua ajuda em divulgá-la à nossa empresa de maneira responsável. A ServiceNow não tolera nenhuma tentativa de auditar ativamente nossa infraestrutura. Reconhecemos que as vulnerabilidades são descobertas ocasionalmente de forma incidental. O conteúdo abaixo descreve as práticas recomendadas para enviar essas informações de vulnerabilidade.

Escopo

Observação: a ServiceNow não realiza quaisquer tentativas de auditoria ativa em nossa infraestrutura.

Este documento se aplica a vulnerabilidades técnicas em produtos, serviços e sistemas de propriedade da ServiceNow. Ao relatar vulnerabilidades, considere o cenário de ataque ou a capacidade de exploração e o impacto de segurança do erro. Os domínios abaixo são exemplos de nossos ativos.

*.servicenow.com
*.service-now.com

Fora do escopo

  • Domínios/subdomínios fora do âmbito de testes aprovados.
  • Ataque de Denial of Service (DoS) relacionado a vulnerabilidades.
  • Vulnerabilidades descobertas por de ferramentas ou verificações automatizadas.
  • Vulnerabilidades que exigem acesso físico ao computador ou dispositivo de um usuário.
  • Vulnerabilidades nos sites de parceiros da ServiceNow.
  • Técnicas de spam ou engenharia social.
  • Ataques físicos contra escritórios ou datacenters da ServiceNow.


Diretrizes

Siga as diretrizes abaixo ao divulgar vulnerabilidades.

  • Relate qualquer possível problema de segurança o mais rápido possível. A ServiceNow fará todos os esforços para resolver rapidamente o problema.

  • Forneça detalhes suficientes para reproduzir a vulnerabilidade, incluindo comprovação do conceito.

  • O uso do ReproNow para demonstrar a reprodutibilidade dos problemas é recomendado, mas não exigido.

  • Não divulgue um problema ao público ou a terceiros até que a ServiceNow o resolva.

  • Procure evitar violações de privacidade, destruição de dados e interrupção ou degradação de nosso serviço. Interaja apenas com as contas de sua propriedade ou para as quais você tenha permissão explícita do titular.

  • Redija quaisquer linguagens ou imagens que podem identificar o programa ou os clientes da ServiceNow, a partir de informações de uma vulnerabilidade fixa.

  • Não participe de testes prejudiciais (como DoS) ou de qualquer ação que possa afetar a confidencialidade, integridade ou disponibilidade de informações e sistemas.

  • Não participe de engenharia social ou phishing de clientes ou funcionários.

  • Não solicite compensação por tempo e materiais ou vulnerabilidades descobertas pelo Programa de Divulgação Responsável.


Envios de vulnerabilidade

Para relatar uma vulnerabilidade, envie um relatório (incluindo uma prova de conceito) para o e-mail disclosure@servicenow.com. A ServiceNow tentará analisar e responder à sua denúncia em até cinco dias úteis após o envio.

Referências

 

Obrigado por ajudar a manter a ServiceNow e nossos usuáros protegidos!