Cibersegurança

Divulgação Responsável de Vulnerabilidades

Compromisso

Caso as atividades de descoberta de vulnerabilidades sejam realizadas de boa-fé e de acordo com as disposições e espírito do presente documento, a MC considerará as atividades como autorizadas e não recomendará ou perseguirá qualquer ação judicial contra os responsáveis, promovendo sim a colaboração por forma a perceber e remediar as vulnerabilidades reportadas. Sem o prejuízo do supra, exposto a autorização da MC não será relevante caso esteja em causa um crime público.

Autorização

A MCretail, SGPS, S.A (MC) está compremetida em garantir a segurança dos seus stakeholders bem como a segurança dos seus sistemas de informação que servem de suporte ao negócio.

Este documento procura disponibilizar a qualquer analista de segurança, quais são as diretrizes para a condução de atividades de descoberta de vulnerabilidades associadas aos seus sistemas de informação e para a comunicação das mesmas caso se venha a confirmar a sua existência.

Na MC, encorajamos o reporte de eventuais vulnerabilidades existentes nos nossos sistemas de informação dando ainda nota de que este documento não constitui um programa de bug bounty. 

Procedimentos de Divulgação Responsável

Caso seja identificada alguma vulnerabilidade, solicitamos que contacte a MC, o mais breve possível, através do endereço de correio eletrónico: rvd@mc.pt

Por forma a agilizar a triagem e priorização de reportes, recomendamos que a divulgação:

  • Inclua uma descrição de vulnerabilidade, onde foi descoberta, isto é, qual o sistema/ endereço IP, bem como o potencial impacto da sua exploração;
  • Inclua uma descrição detalhada dos passos necessários para replicar a vulnerabilidade;
  • Seja realizada em Português ou Inglês.

Sempre que possível, os conteúdos devem ser cifrados com a chave PGP da MC de forma a garantir a confidencialidade e o não repúdio da informação:
– Key_ID: AD94 843A A68B 87E6
– Fingerprint: CFAD33CFBE9F567E6ABF60D6AF94843AA68B876E6

Âmbito

Encontram-se no âmbito desta política os serviços web das marcas MC disponibilizados ao público e abaixo listados:

  • Continente.pt
  • Cartaocontinente.pt
  • Meusuper.pt
  • Wells.pt
  • Noteonline.pt
  • Zu.pt
  • Gonatural.pt
  • Homestory.pt
  • Elergone.pt
  • Arenal.com
  • Dr.Wells.pt
  • Bagga.pt
  • Washy.pt

Estão ainda no âmbito desta política todos os outros serviços web da MC publicamente disponibilizados na internet.

Procedimentos de Divulgação Responsável

Caso seja identificada alguma vulnerabilidade, solicitamos que contacte a MC, o mais breve possível, através do endereço de correio eletrónico: rvd@mc.pt

Por forma a agilizar a triagem e priorização de reportes, recomendamos que a divulgação:

  • Inclua uma descrição de vulnerabilidade, onde foi descoberta, isto é, qual o sistema/ endereço IP, bem como o potencial impacto da sua exploração;
  • Inclua uma descrição detalhada dos passos necessários para replicar a vulnerabilidade;
  • Seja realizada em Português ou Inglês.

Sempre que possível, os conteúdos devem ser cifrados com a chave PGP da MC de forma a garantir a confidencialidade e o não repúdio da informação:
– Key_ID: AD94 843A A68B 87E6
– Fingerprint: CFAD33CFBE9F567E6ABF60D6AF94843AA68B876E6

Âmbito

Encontram-se no âmbito desta política os serviços web das marcas MC disponibilizados ao público e abaixo listados:

  • Continente.pt
  • Cartaocontinente.pt
  • Meusuper.pt
  • Wells.pt
  • Noteonline.pt
  • Zu.pt
  • Gonatural.pt
  • Homestory.pt
  • Elergone.pt
  • Arenal.com
  • Dr.Wells.pt
  • Bagga.pt
  • Washy.pt

Estão ainda no âmbito desta política todos os outros serviços web da MC publicamente disponibilizados na internet.

Exclusões do Âmbito

Consideram-se fora do âmbito desta política:

  • Exploração de vulnerabilidades ou utilização de técnicas que possam conduzir à degradação ou negação de serviço (DoS/DDoS);
  • Utilização de meios e recursos desproporcionais e desadequados para a comprovação de vulnerabilidades identificadas;
  • Utilização de técnicas de engenharia social, spam ou phishing ou qualquer outro tipo de exploração de recursos humanos;
  • Realização de testes à segurança física;
  • Aproveitamento das vulnerabilidades ou erros identificados para acesso a dados para além do estritamente necessário para a sua comprovação;
  • Apagamento ou modificação de dados.
  • Temas relacionados com recomendações de segurança genéricas tais como:

– Configurações fracas do protocolo TLS;
– Não-conformidades com melhores práticas (por exemplo, configurações SPF/SKIM/DMARC, CSP,configurações TLS);
– Resultados de soluções/ferramentas automatizadas amplamente conhecidas.
– Ativos de parceiros da MC.

O que solicitamos

  • Que nos seja fornecida informação detalhada, relevante e suficiente, que permita a análise da vulnerabildidade identificada;
  • Que não seja, utilizada a informação obtida de forma ilegal, abusiva e que possa comprometer, nomeadamente, a disponibilidade e confidencialidade da informação e a integridade da plataforma;
  • Que seja assegurada a privacidade dos utilizadores;
  • Que não sejam divulgadas as vulnerabilidades identificadas até que as mesmas estejam corrigidas ou 90 dias após a receção da comunicação, salvo indicação expressa em contrário por parte da MC;
  • Que seja assegurada uma atuação cooperante, responsável e no cumprimento da lei.

O que esperar da MC

  • Uma resposta no prazo máximo de sete dias, com a avaliação da vulnerabilidade reportada e a estimativa temporal de correção;
  • A MC não partilhará informação com terceiros, sem autorização, salvo se decorrente de obrigação legal ou imposição judicial;
  • A permissão para divulgação do trabalho realizado, desde que as vulnerabilidades reportadas já tenham sido mitigadas e caso não sejam vislumbradas consequências negativas da divulgação para a MC;

Informação relativa ao tratamento de dados pessoais

A entidade Responsável pelo Tratamento dos seus Dados Pessoais será a empresa proprietária de cada ativo listado no âmbito desta política, doravante “empresa” e/ ou “empresas”.

As empresas procederão ao tratamento do seu e-mail, nome e/ ou pseudónimo no estrito interesse legítimo em garantir a regular receção e análise do seu reporte, comprometendo-se a eliminá-los no prazo máximo de 5 (cinco) anos.

Os seus dados pessoais poderão ser transmitidos a empresas parceiras (Subcontratantes) cuja participação se revele indispensável para assegurar a presente iniciativa, tais como empresas de IT, sendo garantido o mesmo nível de segurança e privacidade no referido tratamento.

As empresas poderão ter de transmitir alguns dos seus dados pessoais às Autoridades Competentes, por imposição legal e/ ou judicial.

Enquanto titular de dados pessoais, poderá, a todo e qualquer momento, exercer os seus direitos em matéria de proteção de dados – direito de acesso, direito de retificação, direito de apagamento, direito de limitação, direito de portabilidade e direito de oposição – e contactar os Encarregados da Proteção de Dados (“EPDs”) das empresas, através dos endereços de e-mail indicados pelas mesmas nas suas Políticas de Privacidade, disponíveis para consulta nos seus próprios ativos listados no âmbito desta política.

As empresas procederão à análise cuidada dos seus pedidos, avaliando a sua legitimidade e pertinência, comprometendo-se a dar resposta no prazo legal para o efeito.

Se entender que qualquer uma das empresas não respeitou os seus direitos, poderá apresentar reclamação junto da Comissão Nacional de Proteção de Dados (CNPD): Endereço:  Av. D. Carlos I, 134 – 1.º, 1200-651 – Lisboa |Telefone: +351 213 928 400 | Fax: +351 213 976 832 | Endereço Eletrónico: geral@cnpd.pt