Na XSIRIUS, uma empresa líder em soluções de telecomunicações e energias renováveis, prezamos pela segurança de nossos produtos e clientes. Assim, implementamos esta política para receber relatórios de vulnerabilidades de forma coordenada e transparente, estabelecendo uma colaboração com a comunidade de segurança para garantir a integridade dos nossos serviços e a proteção contínua de nossos usuários. De forma transparente nos comprometemos em fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

A Política de Divulgação Coordenada de Vulnerabilidades da XSIRIUS estabelece diretrizes claras para que pesquisadores de segurança possam descobrir e relatar, de maneira responsável, eventuais vulnerabilidades encontradas em nossos produtos.

​

Escopo Inicial

O processo de Divulgação Coordenada de Vulnerabilidades da XSIRIUS cobre os seguintes produtos e serviços:

• Cable modem;

• Modem xDSL;

• ONU, ONT;

• Roteador ou modem destinados ao acesso fixo sem fio (FWA - Fixed Wireless Access);

• Roteador ou modem destinados ao acesso fixo à banda larga via satélite; e

• Roteador ou ponto de acesso sem fio.

​

Pesquisadores que enviarem relatórios de vulnerabilidades dentro desses critérios e que forem de interesse da XSirius poderão ser creditados em nosso site como autores da descoberta, após validação da equipe de segurança.

​

Regras, Critérios de Aceitação e Priorização

As vulnerabilidades relatadas serão avaliadas conforme os seguintes critérios:

• O relatório deve ser claro, detalhado e pode ser escrito em português ou inglês.

• Deve incluir provas de conceito para facilitar a validação e triagem, mencionando o bug, o impacto e sugestões de correção.

• Vulnerabilidades dentro do escopo dos produtos listados terão prioridade, enquanto itens fora desse escopo terão menor prioridade.

• Relatórios contendo apenas erros de tela ou saídas de ferramentas automatizadas também receberão menor prioridade.

• Devem ser informados quaisquer planos de divulgação pública da vulnerabilidade.

• Relatórios enviados por colaboradores ou ex-colaboradores da XSirius nos últimos 12 meses não serão aceitos.

• O pesquisador deve comprometer-se a não usar indevidamente dados pessoais ou sensíveis encontradas durante o processo.

​

Divulgação de vulnerabilidades.
 A empresa xSirius se compromete a informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas, com no mínimo as seguintes informações:

• Identificador: código de identificação exclusivo para cada comunicado.

• Título: referência genérica e sucinta referente ao(s) produto(s) afetado(s) e à vulnerabilidade corrigida.

• Visão geral: breve resumo de alto nível sobre a vulnerabilidade para que os usuários possam entender os pontos principais e determinar rapidamente se o aviso é aplicável ao seu ambiente.

• Descrição: descrição com mais informações que permitam aos usuários entenderem como são afetados e avaliarem sua exposição. Não deve fornecer detalhes a ponto de permitir a exploração da vulnerabilidade.

• Produtos afetados: uma lista de produtos afetados conhecidos e suas versões.

• Impacto: informações que descrevam o impacto da vulnerabilidade (por exemplo, negação de serviço, execução de códigos maliciosos) e a criticidade da vulnerabilidade por meio de sistema de pontuação de severidade reconhecido internacionalmente.

• Solução (ou Mitigação): informações sobre a ação que os usuários devem realizar para corrigir ou remediar a vulnerabilidade e seu impacto.

• Créditos: reconhecimento ao descobridor (notificador) por relatar a vulnerabilidade e/ou outros envolvidos no processo de solução.

• Histórico de Revisão: versão e data da publicação original.  Pode conter um histórico de modificações se o boletim for atualizado posteriormente.

• Manter histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança;

• Permitir acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos; e

• Fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

​

O Que Você Pode Esperar de Nós

• Responderemos em até 5 dias úteis.

• Após a triagem inicial, forneceremos um prazo estimado para correção e informaremos sobre desafios técnicos que possam surgir.

• Manteremos uma comunicação aberta sobre a vulnerabilidade reportada.

• Notificaremos quando a vulnerabilidade for confirmada.

• Após validação e correção, daremos o devido crédito ao pesquisador.

​

Postura Legal

A XSirius não tomará medidas legais contra aqueles que enviarem relatórios de vulnerabilidades seguindo as diretrizes desta política, desde que:

• Realizem testes sem causar danos aos produtos da XSirius ou a seus clientes.

• Obtenham permissão explícita do cliente antes de testar vulnerabilidades em seus dispositivos.

• Sigam as leis brasileiras e as do país onde a pesquisa for realizada.

• Não divulguem publicamente os detalhes da vulnerabilidade antes de 90 dias ou até que um prazo mutuamente acordado seja atingido.

A participação no processo de Divulgação Coordenada de Vulnerabilidades da XSirius não concede direitos de propriedade intelectual sobre os produtos ou serviços da empresa. Todos os direitos permanecem exclusivos da XSirius ou de seus parceiros.
​

Como Relatar uma Vulnerabilidade

Para relatar uma vulnerabilidade nos produtos da xSirius, acesse o formulário aqui.
​

Fale Conosco:

• Telefone: (48) 3205-2275

• WhatsApp: (48) 3205-2275

• E-mail: contato@x-sirius.com

• SAC: sac@x-sirius.com

​

Ao enviar um relatório, o pesquisador confirma que compreende e aceita os termos e condições desta política.