{"section":"tutorials","requestedLocale":"pt","requestedSlug":"reportar-vulnerabilidade","locale":"pt","slug":"reportar-vulnerabilidade","path":"docs/pt/tutorials/segurança/compliance-de-segurança-da-informação/reportar-vulnerabilidade.md","branch":"main","content":"Nossos clientes são encorajados a reportar, de modo responsável, quaisquer vulnerabilidades de segurança que acreditam ter encontrado durante o uso comum da plataforma.\n\nAqueles que desejarem reportar uma vulnerabilidade devem antes trabalhar com suas próprias equipes de segurança e desenvolvimento para realizar uma avaliação de segurança e eliminar  falsos positivos ou problemas oriundos de configurações personalizadas. Somente casos compatíveis com a [definição de vulnerabilidade](#definicao-de-vulnerabilidade) serão verificados.\n\n> ⚠️ Consulte o documento [Práticas de Segurança da VTEX](https://vtex.com/br-pt/security/security-practices/) e nossa [FAQ de Segurança](/pt/docs/tutorials/risk-assessment#risk-assessment-na-vtex) antes de reportar qualquer vulnerabilidade. Estes documentos esclarecem nossos processos e ajudam a eliminar falsos positivos.\n\nApós esse procedimento, caso haja uma vulnerabilidade, siga estes passos:\n\n1. [Baixe o modelo](https://assets.ctfassets.net/alneenqid6w5/7FNzoEpl67wH6crmW98If2/5edb235d1afe34aabf08ab73d67ad8f8/Modelo_-_Comunica____o_de_Vulnerabilidade_-_PT.pdf) para comunicação de vulnerabilidades.\n2. Preencha o modelo de comunicação de vulnerabilidades com os detalhes de cada vulnerabilidade encontrada. Adicione o maior número possível de detalhes para explicar a suspeita identificada, disponibilizando evidências e imagens que nos ajudem a compreender, reproduzir e validar o problema.\n\n  As vulnerabilidades devem ser reportadas individualmente, seguindo o modelo estabelecido. Caso tenha encontrado mais de uma vulnerabilidade em seu teste, preencha múltiplos modelos e anexe ao seu chamado.\n\n  > ⚠️ Todas as informações devem ser preenchidas e são importantes para a avaliação. Comunicações de vulnerabilidade fora do padrão estabelecido não serão endereçadas pelo time de Segurança da VTEX.\n\n3. Abra uma solicitação para o nosso [Suporte](https://supporticket.vtex.com/support) para registrar o aviso de vulnerabilidade de segurança. Não esqueça de anexar o modelo de comunicação de vulnerabilidades preenchido neste chamado.\n4. Salve o número do seu chamado, pois você poderá precisar dele em futuras comunicações.\n\n### Definição de vulnerabilidade\n\nA VTEX considera uma vulnerabilidade de segurança qualquer falha em um dos nossos componentes que possa permitir que a confidencialidade, integridade ou disponibilidade de produto ou infraestrutura seja comprometida de alguma forma.\n\nNão consideramos como uma vulnerabilidade os seguintes casos: \n\n* Presença ou ausência de cabeçalhos HTTP (X-Frame-Options, CSP, nosniff, entre outros).\n* Ausência de atributos de segurança em cookies.\n* Problemas relacionados a cache.\n* Mensagens de erro de _stack_.\n* Injeção de conteúdo por usuários administrativos.\n* Partes customizadas da loja.\n* Preenchimento automático ativado.\n\n### Resposta da VTEX\n\nA VTEX não se compromete a responder a relatórios em massa gerados por verificadores automatizados. Caso sua análise se baseie em um processo automatizado de identificação de vulnerabilidades, recomendamos que os relatórios sejam analisados por um profissional de segurança para garantir a validade do que foi encontrado antes de comunicar as vulnerabilidades à VTEX.\n\nA VTEX se compromete a responder os avisos recebidos pelo [Suporte](https://supporticket.vtex.com/support) o mais breve possível, notificar sobre a correção de vulnerabilidades ou fornecer motivos coerentes pelos quais análises ou correções eventualmente não possam ser realizadas.\n\nA VTEX está dedicada a analisar, verificar e solucionar quaisquer vulnerabilidades que nos sejam relatadas e possam comprometer a sua segurança."}