TEMPEST

POLÍTICAS

  • POLÍTICA DE PRIVACIDADE E USO DE DADOS PESSOAIS

    1. INTRODUÇÃO

    Seja bem-vindo à Tempest! Temos como princípio atender às necessidades de nossos clientes com qualidade e confiabilidade, através de profissionais competentes e comprometidos com a melhoria contínua.

    A presente Política de Privacidade contém informações sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos usuários e visitantes de nosso site.

    O objetivo desta Política é esclarecer, de forma transparente, para você, titular de dados pessoais, quais dados coletamos, para qual finalidade fazemos essa coleta, onde seus dados ficam armazenados, quais medidas de segurança adotamos para manter seus dados seguros e, finalmente, como você pode exercer seus direitos garantidos pela Lei Geral de Proteção de Dados (LGPD).

    2. QUEM SOMOS

    A Tempest Serviços de Informática S.A. (registrada sob o CNPJ n. 05.359.075/0001-87) é a maior empresa brasileira especializada em cibersegurança e prevenção a fraudes digitais do Brasil.

    Ao navegar pelo nosso site, você poderá acessar diferentes seções para obter informações sobre nossos serviços ou receber conteúdos direcionados ao perfil da sua empresa.

    3. DADOS PESSOAIS E FINALIDADES DE COLETA

    Em nosso site são disponibilizados diversos formulários para preenchimento pelos visitantes, de acordo com seu interesse em determinados conteúdos ou soluções. A partir desses formulários, coletamos e tratamos alguns dados pessoais para finalidades específicas, com base em nosso legítimo interesse de ofertar nossos produtos e serviços e divulgar nosso trabalho.

    Especificamos a seguir, de acordo com as diferentes seções de nosso site, quais dados pessoais são coletados e para quais finalidades eles são utilizados:

    Seção ‘Entre em contato com a Tempest’

    Ao ingressar nessa seção, você terá acesso a um formulário que deverá ser preenchido para que possamos contatá-lo e fornecer-lhe informações sobre nossos produtos e serviços.

    Os dados pessoais coletados são:

    Seu nome e sobrenome;

    Seu e-mail corporativo;

    Seu telefone;

    O nome da empresa para a qual você trabalha;

    O cargo que você ocupa na empresa informada.

     

    Além dessas informações, também são solicitados dados específicos sobre a empresa a qual você está vinculado, não sendo estes considerados “dados pessoais” nos termos da LGPD.

    Os dados acima informados são coletados para que a Tempest possa saber quem é você e identificar o perfil da empresa para qual você trabalha. A partir desses dados, entraremos em contato, via telefone ou e-mail, para lhe fornecer as informações que você busca.

    O objetivo do seu contato com a Tempest deverá ser especificado no campo “Motivo do Contato”, para que possamos identificar em qual produto ou serviço sua empresa está interessada.

    Além disso, os dados são inclusos em nossa lista de e-mail marketing, para que possamos informá-lo sobre nossos produtos e serviços, bem como acerca de eventos sobre cibersegurança, com base em nosso legítimo interesse de divulgar nosso trabalho.

    Ressaltamos que você poderá, a qualquer momento, optar por não mais receber nossos e-mails, bastando que faça essa opção ao receber nosso conteúdo.

    Seção ‘Inscreva-se na nossa newsletter’

    Ao ingressar nessa seção, você terá acesso a um formulário que deverá ser preenchido para que possamos direcionar conteúdos exclusivos para você, de acordo com o perfil da sua empresa.

    Os dados pessoais coletados são:

    Seu nome e sobrenome;

    Seu e-mail corporativo;

    Seu telefone;

    O nome da empresa para a qual você trabalha;

    O cargo que você ocupa na empresa informada.

    Da mesma forma que na seção anterior, também são solicitados dados específicos sobre a empresa na qual você trabalha, mas esses não são consideradas “dados pessoais” nos termos da LGPD.

    O objetivo da Tempest ao solicitar os dados acima informados é saber quem é você e identificar o perfil da sua empresa. Assim, poderemos te enviar nossa newsletter com conteúdo exclusivos, de acordo com o segmento de atuação de sua empresa.

    Além disso, os dados são inclusos na lista de e-mail marketing, para que possamos informá-lo sobre nossos produtos e serviços, bem como acerca de eventos sobre cibersegurança, com base em nosso legítimo interesse de divulgar nosso trabalho.

    Ressaltamos que você poderá, a qualquer momento, optar por não mais receber nossos e-mails, bastando que faça essa opção ao receber nosso conteúdo.

    Downloads de E-books

    Na seção de “Conteúdos” do nosso site, em “Publicações”, disponibilizamos E-books sobre diferentes temas relacionados à cibersegurança e prevenção a fraudes digitais.

    Ao escolher um dos conteúdos que seja de seu interesse e clicar em “Fazer Download”, você será direcionado para um formulário que solicitará os seguintes dados pessoais:

    Seu nome e sobrenome;

    Seu e-mail corporativo;

    Seu telefone;

    O nome da empresa para a qual você trabalha;

    O cargo que você ocupa na empresa informada.

    Nesta seção, também são solicitados dados específicos sobre sua empresa. Essas informações são colhidas para que a Tempest possa avaliar os possíveis interesses da sua empresa e os serviços e produtos que podemos te ofertar.

    Além disso, ao final do formulário, você poderá solicitar que um de nossos consultores entre em contato por telefone de para falar sobre nossas soluções.

    Após a disponibilização do E-book, utilizaremos os dados fornecidos neste formulário para inclui-lo em nossa lista de e-mail marketing, por meio da qual você passará a receber conteúdo relativo aos nossos serviços, produtos e novas soluções propostas em matéria de cibersegurança.

    Ressaltamos que você poderá, a qualquer momento, optar por não mais receber nossos e-mails, bastando que faça essa opção ao receber nosso conteúdo.

    Seção ‘Trabalhe Conosco’

    Ao acessar a seção “Trabalhe Conosco”, você poderá verificar as vagas disponíveis na Tempest clicando em “Confira as Vagas”.

    Você será direcionado para a plataforma de um parceiro da Tempest, Kenoby, onde poderá se candidatar às nossas vagas, enviando seu currículo.

    Nesse ambiente serão solicitados dados pessoais de acordo com a Política de Privacidade própria da Kenoby, que pode ser acessada através do seguinte link: https://app.kenoby.com/#/policy

    Seção ‘Simulador LGPD’

    Na página inicial do nosso site, você poderá acessar o “Simulador de Maturidade LGPD”.

    Para que você possa realizar o teste, deverá ler e concordar com nossos “Termos e Condições” e, após isso, fornecer as informações solicitadas em um formulário.

    Serão coletados os seguintes dados pessoais:

    Seu nome e sobrenome;

    Seu e-mail corporativo;

    Seu telefone;

    O nome da empresa para a qual você trabalha;

    O cargo que você ocupa na empresa informada.

    Nesta seção, também são solicitados dados específicos sobre a sua empresa. Essas informações são colhidas para que a Tempest possa avaliar os possíveis interesses da sua empresa e os serviços e produtos que podemos te ofertar.

    Além disso, ao final do formulário, você poderá solicitar que um de nossos consultores entre em contato por telefone para falar sobre a adequação à LGPD e as soluções disponibilizadas pela Tempest.

    Os dados fornecidos por meio do referido formulário serão utilizados para realizar o teste e verificar o nível de maturidade da sua empresa com relação à adequação à Lei Geral de Proteção de Dados, bem como para a inclusão de suas informações em nossa lista de e-mail marketing, por meio da qual você passará a receber conteúdo relativo aos nossos serviços, produtos e novas soluções propostas em matéria de cibersegurança.

    Ressaltamos que você poderá, a qualquer momento, optar por não mais receber nossos e-mails, bastando que faça essa opção ao receber nosso conteúdo.

    4. COOKIES

    Empregamos tecnologia de cookies para ajudar a registrar visitantes em nosso site.

    Cookies são arquivos de Internet que armazenam de forma temporária o que você está visitando na rede. Quando você visita nosso site, um cookie de navegação é gerado. Esses cookies não contêm nenhuma informação pessoal sobre você e não podem ser usados para identificar um usuário individual.

    Ao acessar nosso site, você terá a opção de desativar, por meio de banner específico exibido quando do acesso, cookies voltados à publicidade (advertising). Esses cookies são utilizados com o objetivo de identificar as preferências na navegação do visitante e exibir conteúdos que sejam de seu interesse.

    Caso você concorde com o uso dos cookies, nosso site utilizará o Google Analytics, um serviço de análise ofertado pelo Google, com o objetivo de identificar o número de acessos ao nosso site que decorrem de informações disponibilizadas em redes sociais.

    Essas informações são coletadas de forma anônima, ou seja, não é possível a identificação do visitante, apenas o volume de acessos. Esses dados de acesso são armazenados nos servidores do Google, localizado nos Estados Unidos. Você pode configurar seu navegador para recusar todos ou alguns cookies ou para alertá-lo quando os sites configurarem ou acessarem cookies. Caso você opte por desativar os cookies, alguns dos recursos do site poderão ficar indisponíveis.

    5. TEMPO DE ARMAZENAMENTO

    Os dados coletados serão armazenados para as finalidades especificadas por tempo indeterminado.

    Contudo, você, titular dos dados pessoais, poderá requisitar a exclusão de seus dados a qualquer momento, conforme indicado em “Seus Direitos como Titular de Dados”.

    6. COMPARTILHAMENTO DE SEUS DADOS PESSOAIS

    Seus dados ficam armazenados em uma plataforma Cloud (Salesforce), cujos servidores podem estar localizados nos Estados Unidos, Alemanha, Japão, Reino Unido, França, Canadá, Índia e Austrália.

    Sendo assim, compartilhamos seus dados pessoais com esse parceiro localizado fora do Brasil. Contudo, ele não utiliza seus dados para qualquer finalidade, somente a Tempest executa o tratamento para as finalidades já descritas acima.

    Informamos que poderá ser necessário o compartilhamento de seus dados com outros parceiros ou prestadores de serviço da Tempest, também localizados fora do território nacional.

    A Tempest informa que acompanhará regulações a respeito do tema, incluindo decisões da Autoridade Nacional de Proteção de Dados (ANPD) e estará preparada para adequar-se naquilo que for necessário para assegurar a segurança dos seus dados pessoais.

    Além disso, informamos que, sempre que efetuado, o compartilhamento de dados será realizado dentro dos limites e propósitos das nossas atividades e de acordo com o que autoriza a legislação aplicável.

    7. SEUS DIREITOS COMO TITULAR DE DADOS

    Na qualidade de titular dos dados pessoais tratados, você poderá, a qualquer momento, solicitar através de e-mail, por intermédio de uma carta ou contato telefônico:

    Confirmação da existência do tratamento de seus dados pessoais;

    Acesso aos seus dados pessoais;

    Correção de dados que estejam incompletos, inexatos ou desatualizados;

    Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei Geral de Proteção de Dados;

    Portabilidade dos dados a outro fornecedor de serviço ou produto, de acordo com a regulamentação da Autoridade Nacional de Proteção de Dados – ANPD;

    Informação das entidades públicas e privadas com as quais a Tempest realizou uso compartilhado de dados. Envidaremos nossos melhores esforços para retornar o contato em até 7 dias úteis.

    Se optar por nos encaminhar um e-mail , poderá ser solicitado que nos envie informações suficientes para identificá-lo (por exemplo, seu nome e a empresa à qual está vinculado).

    8. SEGURANÇA DAS SUAS INFORMAÇÕES

    A Tempest, empresa referência no que tange a soluções de cibersegurança, aplica as melhores práticas, reconhecidas internacionalmente, para manter seus dados seguros, sempre reforçando e atualizando nossas medidas de segurança.

    Nós adotamos medidas de segurança adequadas para evitar que seus dados pessoais sejam acessados e utilizados de maneira não autorizada.

    Nós limitamos o acesso aos seus dados pessoais para aqueles que realmente necessitam ter conhecimento deles para o cumprimento das finalidades já descritas acima. Aqueles que processam suas informações só o farão de maneira autorizada e estarão sujeitos a um termo de confidencialidade.

    9. ALTERAÇÕES NESTA POLÍTICA DE PRIVACIDADE

    Nos reservamos ao direito de modificar essa Política de Privacidade a qualquer momento, sendo assim, caso exista qualquer alteração, informaremos a você através de e-mail ou newsletter, caso você tenha cadastrado seu endereço de e-mail em nosso site, ressaltando as principais alterações e suas implicações.

    As alterações terão aplicabilidade imediatamente após sua publicação na plataforma.

    Ao utilizar o serviço ou fornecer dados pessoais após eventuais modificações, o usuário e visitante manifestam estar cientes das novas normas.

    10. CONTATO DO DPO

    O Encarregado é o responsável por prestar esclarecimentos acerca do tratamento de dados pessoais efetuado.

    Caso deseje fazer uma solicitação, entre em contato com o nosso DPO, , através do endereço de e-mail: ; ou escreva para Rua da Alfândega, 35 – Loja 216A – Paço Alfândega – Bairro do Recife, Recife-PE – Brasil – CEP: 50030-030. Caso deseje entrar em contato por telefone, ligue de segunda a sexta-feira, das 9h às 18h, para +55 (81) 3419-0800.

  • POLÍTICA DE DIVULGAÇÃO COORDENADA DE VULNERABILIDADES

      1. Objetivo

      Esta política tem o objetivo de disciplinar o processo de divulgação de vulnerabilidades de segurança.

      2. Escopo

      A política abrange as vulnerabilidades identificadas em qualquer tipo de tecnologia, incluindo tecnologias desenvolvidas pela Tempest.

      3. Princípios

      Esta política visa atender a um conjunto de princípios os quais a Tempest considera como valores intrínsecos ao processo de descoberta e divulgação de vulnerabilidades. São eles:

    1. 3.1. Na Tempest a busca por vulnerabilidades é orientada pelo desejo de trazer mais segurança para os clientes e para a sociedade.
    2. 3.2. As entidades devem buscar o diálogo para divulgar vulnerabilidades de modo responsável.
    3. 3.3. Os recursos e esforços para encontrar vulnerabilidades precisam ser proporcionais a provar que a vulnerabilidade existe.
    4. 3.4. A definição das regras para a divulgação coordenada de vulnerabilidades traz equilíbrio no relacionamento entre as entidades do processo e protege os pesquisadores.
    5. 3.5. A divulgação de vulnerabilidades à revelia do fabricante (full disclosure) é orientada pelo benefício à sociedade em condições nas quais há perigo iminente de sua exploração. Este tipo de divulgação somente pode ocorrer em situações nas quais todas as tentativas de comunicação ou consenso entre as partes tenham se esgotado até o prazo limite determinado no item 7.1.7 abaixo.

     

    4. Definições

    Vulnerabilidade– é um conjunto de condições ou comportamentos que possibilitam a violação de uma política de segurança explícita ou implícita. Vulnerabilidades podem ser causadas por defeitos de software, decisões sobre configuração ou design, interações inesperadas entre sistemas ou mudanças no ambiente. A exploração bem-sucedida de uma vulnerabilidade possui impactos técnicos e de risco. Vulnerabilidades podem surgir em sistemas de processamento de informações tão cedo quanto em fase de projeto e tão tarde quanto na implantação do sistema.

    Risco– Uma medida da extensão em que uma entidade é ameaçada por uma circunstância ou evento em potencial, é tipicamente uma função de: (i) os impactos adversos que surgiriam se a circunstância ou evento ocorresse; e (ii) a probabilidade de ocorrência.

    Impacto Potencial– A perda de confidencialidade, integridade ou disponibilidade que se pode esperar causando um efeito adverso limitado, grave ou catastrófico sobre operações e ativos organizacionais ou indivíduos.

    CVSS– acrônimo para Common Vulnerability Scoring System – Sistema Comum de Pontuação de Vulnerabilidade, em uma tradução livre. Trata-se de uma maneira de capturar as principais características de uma vulnerabilidade e lhe dar uma nota de acordo com sua severidade, o que pode ajudar as organizações a priorizar atividades de correção da falha de acordo com seu impacto potencial e risco.

    CVD– acrônimo para Coordinated Vulnerability Disclosure – Divulgação Coordenada de Vulnerabilidade. Consiste em um processo para a redução da vantagem de adversários enquanto uma vulnerabilidade de segurança da informação é mitigada. CVD é um processo, não um evento. Liberar um patch ou publicar um documento são eventos importantes dentro do processo, mas não o definem.

    5. Papéis e Responsabilidades

    Por ser um processo coordenado, o CVD pode envolver múltiplas organizações, tais como empresas, fundações, agências governamentais e indivíduos, os quais podem assumir diversos papéis e responsabilidades específicas no processo. A Tempest pode, por exemplo, assumir o papel de finder de relator e coordenador para as vulnerabilidades que encontra. Adicionalmente pode também assumir o papel de fabricante e deployer para as vulnerabilidades encontradas em suas teconologias.

    Finder– indivíduo ou organização que encontra a vulnerabilidade. Muitas vezes se trata de um pentester ou pesquisador de segurança os quais estão motivados pelo desafio técnico ou pelo reconhecimento que a divulgação da vulnerabilidade pode oferecer. Eventualmente essa função é desempenhada institucionalmente por empresas ou pelo próprio fabricante.

    Relator – indivíduo ou organização que comunica a vulnerabilidade ao fabricante. Em muitos casos essa atividade é desempenhada pelo Finder. Entretanto, a atividade pode ser eventualmente desempenhada por uma empresa que intermedeia a comunicação entre o fabricante e o Finder, cobrando uma taxa sobre a recompensa atrelada à divulgação responsável do problema.

    Fabricante– Empresa, organização sem fins lucrativos, agência governamental, indivíduo ou grupo de indivíduos que cria, desenvolve e/ou mantém tecnologias. No CVD esta é a entidade responsável por avaliar a documentação enviada pelo Finder, planejar e desenvolver correções, bem como disponibilizá-las para os Deployers.

    Deployer– Indivíduo ou organização com a função de planejar, testar e implementar correções para vulnerabilidades.

    Coordenador– Indivíduo ou área em uma organização com a função de gerir o ciclo de identificação de correção de vulnerabilidades no processo de CVD. Eventualmente o processo pode demandar a coordenação de atividades entre múltiplas empresas o que acarreta em um coordenador para todo o caso. Na Tempest, essa função é ocupada por funcionários com o badge de Research Advisor.

    6. Fases do CVD

    Descoberta– momento em que a vulnerabilidade é identificada. Isto pode acontecer acidentalmente ou dentro do escopo de uma pesquisa.

    Reporting– momento em que o Finder e/ou o Relator documentam a descoberta da vulnerabilidade em um “vulnerability advisory”.

    Validação e Triagem– momento em que o fabricante valida a acurácia da documentação e prioriza essa correção em relação a outras possíveis atividades semelhantes.

    Remediação– atividade de desenvolver uma correção para o problema e testá-la.

    Deployment– fase em que o Deployer planeja, testa e implementa a correção em seu ambiente.

    7. Diretrizes

    Com as diretrizes abaixo, a Tempest busca aplicar um conjunto de regras gerais para o tratamento de vulnerabilidades, tanto as identificadas em suas soluções, quanto às que encontra nas mais variadas tecnologias.

    Essa iniciativa, se baseia em práticas reconhecidas internacionalmente e possui o objetivo de contribuir para a segurança de todos, conforme detalhado na seção 3 “princípios” deste documento. Portanto, a Tempest cumpre com as diretrizes dessa política e espera que as outras organizações também estejam em conformidade com ela.

    7.1. Diretrizes do Coordenador
    1. 7.1.1. O coordenador deve agir sob as princípios dessa política;
    2. 7.1.2. O coordenador opera como um gerente de projetos, resolvendo conflitos e desobstruindo o canal de comunicação entre todas as partes;
    3. 7.1.3. Toda comunicação do Coordenador com as partes deve acontecer por canais criptografados;
    4. 7.1.4. Quando na situação em que a vulnerabilidade envolva múltiplos fabricantes é conveniente os representantes de todas as organizações envolvidas elegerem um coordenador exclusivo para o projeto;
    5. 7.1.5. Os detalhes da divulgação serão negociados pelo coordenador com todas as partes. Se múltiplas organizações estiverem envolvidas, a divulgação só poderá acontecer quando todas concordarem.
    6. 7.1.6. O coordenador deverá negociar com o fabricante uma data limite para a divulgação da vulnerabilidade a qual, a princípio, não deve ser superior a 90 dias a contar da primeira comunicação entre as partes.
    7. 7.1.7. Casos em que não há cooperação do fabricante, ou em que este não considere a situação como uma vulnerabilidade, devem ser submetidos ao diretor do coordenador para que a publicação à revelia seja deliberada pela gestão.
    7.2. Diretrizes do Finder
    1. 7.2.1. O Finder deverá reportar a vulnerabilidade inicialmente ao coordenador, se houver pessoa com essa função.
    2. 7.2.2. O Finder é responsável por seus atos e deve estar ciente de que reportar a vulnerabilidade não o absolve de uma investigação criminal, caso este tenha usado a vulnerabilidade para finalidades criminosas;
    3. 7.2.3. O Finder deve reportar a vulnerabilidade o mais rápido possível para minimizar o risco de exploração maliciosa;
    4. 7.2.4. Toda comunicação do Finder com as partes precisa acontecer preferencialmente por canais criptografados;
    5. 7.2.5. Na ausência do Relator, o Finder deve reportar a vulnerabilidade seguindo os critérios definidos na seção 7.3, abaixo;
    6. 7.2.6. Suas ações devem ser proporcionais a provar que a vulnerabilidade existe, evitando;
      1. Usar engenharia social para obter acesso ao sistema;
      2. Criar seu próprio backdoor no sistema com a intenção de demonstrar a vulnerabilidade, pois assim poderia criar dano adicional ou gerar riscos desnecessários;
      3. Utilizar a vulnerabilidade mais tempo que o necessário para estabelecer a sua existência;
      4. Copiar, modificar ou deletar dados no sistema;
      5. Enumerar ou fazer lista dos diretórios do sistema;
      6. Modificar o sistema;
      7. Obter acesso repetidamente ao sistema;
      8. Compartilhar seu acesso ao seu sistema com outras pessoas;
      9. Usar técnicas de brute force para obter acesso ao sistema.
    7.3. Diretrizes do Relator
    1. 7.3.1. O Relator deverá construir o Vulnerability Advisory contemplando as seguintes informações sobre vulnerabilidade:
      1. Versão do documento;
      2. Data da primeira versão do advisory e da versão atual;
      3. CVSS da vulnerabilidade e sua descrição;
      4. Qual a tecnologia vulnerável;
      5. Qual a versão – ou versões – vulneráveis;
      6. Qual é o tipo de vulnerabilidade;
      7. Qual é o impacto potencial da exploração bem-sucedida da vulnerabilidade;
      8. Quais são as situações adversas da exploração malsucedida da vulnerabilidade. Exemplo: casos em que a execução do exploit resulta em erro, porém causa negação de serviço no alvo;
      9. Descrição dos recursos necessários e condições pré-existentes para o ataque ocorrer.
      10. Possíveis soluções de contorno que evitam a exploração da vulnerabilidade.
      11. Evidências técnicas que comprovem que a vulnerabilidade é passível de exploração.
    2. 7.3.2. Toda comunicação do Relator com as partes precisa acontecer por canais criptografados.
    7.4. Diretrizes do fabricante
    1. 7.4.1. O fabricante se compromete a manter canais para que Finders e relatores possam comunicar a empresa sobre vulnerabilidades em seus produtos;
    2. 7.4.2. O fabricante se compromete a não estabelecer limites para a comunicação sobre vulnerabilidades;
    3. 7.4.3 O fabricante deve contar com pessoas qualificadas para responder a qualquer comunicação sobre vulnerabilidades em seus produtos;
    4. 7.4.4. A empresa deve garantir que, ao receber um vulnerability advisory, este será enviado o mais rápido possível para o grupo com mais condições de respondê-lo;
    5. 7.4.5. O grupo incumbido de tratar o vulnerability advisory deverá enviar uma confirmação de recebimento ao Finder e/ou relator, assim que receber o documento, preferencialmente assinada digitalmente;
    6. 7.4.6. Convém que o fabricante apresente uma correção para a vulnerabilidade em até 90 dias;
    7. 7.4.7. O tempo para a apresentação de uma correção pode ser reduzido ou aumentado de acordo com a criticidade e/ou complexidade do problema;
    8. 7.4.8. O fabricante deverá comunicar o Finder, o relator e/ou o coordenador sobre o status de cada atividade de correção;
    9. 7.4.9. O fabricante pode optar por bonificar o Finder pela descoberta da vulnerabilidade;
    10. 7.4.10. O fabricante pode optar por divulgar a vulnerabilidade antecipadamente a seus parceiros ou grupos de interesse;
    11. 7.4.11. A iniciativa de oferecer uma recompensa pelo reporte de vulnerabilidades é exclusiva da organização, a qual pode determinar as condições para isso em uma política pública.
    12. 7.4.12. Por aceitar os termos da política de divulgação coordenada de vulnerabilidades, o fabricante declina de tomar ações legais contra os pesquisadores que descobriram a vulnerabilidade. A não ser que uma investigação criminal comprove que estes usaram a vulnerabilidade para finalidades criminosas.

    8. Referências

    Software Vulnerability Disclosure in Europe:Technology, Policies and Legal Challenges.CEPS Task Force. Junho de 2018.

    The CERT® Guide to Coordinated Vulnerability Disclosure. CERT Division. Carnegie Mellon University. August 2017.

    NIST Special Publication 800-30: Guide for Conducting Risk Assessments.National Institute of Standards and Technology. September 2012.

    NIST Special Publication 800-53: Security and Privacy Controls for Federal Information Systems and Organizations. National Institute of Standards and Technology. April 2013.

    FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems.National Institute of Standards and Technology. 9 March 2006.

    Economics of vulnerability disclosure. ENISA. December 2018.

  • ÉTICA E COMPLIANCE

      Código de Ética:

      O Código de Ética e Conduta da Tempest reflete o compromisso da Companhia em buscar o mais alto nível de integridade corporativa e ética em todos os seus negócios.

      Fazer Download

       

      Política Anticorrupção:

      A Política Anticorrupção da Tempest estabelece nossas diretrizes e compromissos para combater todas as formas de corrupção, com uma visão clara e objetiva de que qualquer ato de corrupção é intolerável e será disciplinado tempestivamente.

      Fazer Download

       

      Helpline

      O Helpline é um canal confidencial para empregados e partes interessadas reportarem ou buscarem suporte para os casos de violação às legislações anticorrupção, prevenção à lavagem de dinheiro, antitruste, possíveis casos de fraude, assédio e violações das políticas e Código de Ética da Tempest relacionadas a estes temas.

      Não tolerância para retaliação

      A Tempest não tolera retaliação com quem relata uma preocupação de boa-fé.

      Confidencialidade e anonimato

      Todos os problemas relatados, preocupações, reclamações ou violações dirigidas ao Helpline da Tempest serão tratados de forma confidencial e anônima.*Devido a determinadas legislações, alguns países não permitem que relatos sejam feitos de forma anônima, nestes casos a Tempest respeitará as respectivas exigências da lei local e informará a pessoa sempre que necessário.

      Como submeter uma alegação ou preocupação?

      Via telefone: Brasil: 0800-721-5968, clicando no botão abaixo através das localidades da Tempest.

      Acessar Helpline