Relatório de vulnerabilidade

Resolva potenciais vulnerabilidades de qualquer ordem em nossos serviços de nuvem

A Amazon Web Services leva a segurança muito a sério e investiga todas as vulnerabilidades reportadas. Esta página descreve nossa prática de tratamento de vulnerabilidades potenciais em todos os aspectos de nossos serviços de nuvem.

Relato de suspeitas de vulnerabilidades

  • Amazon Web Services (AWS): se desejar denunciar uma vulnerabilidade ou tiver uma preocupação de segurança a respeito dos serviços da Nuvem AWS ou de projetos de código aberto, envie um e-mail para aws-security@amazon.com. Se você deseja proteger seu e-mail, pode usar nossa chave PGP.
  • Política de suporte ao cliente para testes de penetração da AWS: os clientes da AWS podem realizar avaliações de segurança ou testes de penetração em sua infraestrutura da AWS sem aprovação prévia para os serviços listados. A Solicitação de autorização para outros eventos simulados deve ser enviada por meio do formulário de Eventos simulados. Para os clientes que operam na Região da AWS da China (Ningxia e Beijing), use este formulário de Eventos simulados.
  • Abuso da AWS: se você suspeita que alguns recursos da AWS (como uma instância do EC2 ou um bucket do S3) estão sendo usados para atividades suspeitas, pode denunciar o caso para a equipe de abuso da AWS usando o formulário de Denúncia de abuso à Amazon AWS ou entrando em contato com abuse@amazonaws.com.
  • Informações de conformidade da AWS: o acesso aos relatórios de conformidade da AWS estão disponíveis por meio do AWS Artifact. Se você tiver dúvidas adicionais relacionadas à conformidade da AWS, entre em contato por meio do formulário de entrada da AWS.
  • Amazon.com (varejo): se tiver uma dúvida de segurança sobre a Amazon.com (varejo), central do vendedor, Amazon Payments ou outros assuntos, como pedidos e e-mails suspeitos, cobranças inválidas em cartão de crédito ou denúncia de vulnerabilidades, acesse a nossa página da Web do Security for Retail (Segurança no varejo).

Para que possamos responder com mais eficácia ao seu relatório, forneça qualquer material de suporte (código de prova de conceito, saída da ferramenta etc.) que seja útil para nos ajudar a entender a natureza e a gravidade da vulnerabilidade.

As informações que você compartilha com a AWS como parte desse processo são mantidas em sigilo na AWS. A AWS só compartilhará essas informações com uma empresa externa se a vulnerabilidade que você relatar for considerada passível de afetar o produto de uma empresa externa, situação na qual compartilharemos essas informações com o autor ou fabricante do produto em questão. Caso contrário, a AWS só compartilhará essas informações se permitido por você.

A AWS examinará o relatório enviado e atribuirá a ele um número de controle. Nós responderemos a você, acusando o recebimento do relatório e descreveremos as próximas etapas no processo.

SLA para avaliação pela AWS

A AWS é comprometida em ser responsiva e em manter você informado sobre nosso progresso à medida que investigamos e/ou mitigamos a suspeita de segurança reportada. Você receberá uma resposta não automatizada ao seu contato inicial dentro de 24 horas, confirmando o recebimento de sua vulnerabilidade relatada. Você receberá da AWS atualizações de progresso a, pelo menos, cada cinco dias úteis dos EUA.

Notificação pública

Se for aplicável, a AWS coordenará a notificação pública de qualquer vulnerabilidade validada com você. Quando possível, preferimos que nossas respectivas divulgações públicas sejam publicadas simultaneamente.

Para proteger nossos clientes, a AWS solicita que você não publique nem compartilhe quaisquer informações sobre uma vulnerabilidade potencial em qualquer ambiente público até que tenhamos pesquisado, respondido e tratado da vulnerabilidade relatada e os clientes tenham sido informados, se necessário. Além disso, pedimos respeitosamente que você não publique nem compartilhe nenhum dado pertencente a nossos clientes. Tratar de uma vulnerabilidade válida relatada levará tempo e o prazo dependerá da gravidade da vulnerabilidade e dos sistemas afetados.

As notificações públicas da AWS são feitas na forma de boletins de segurança, que são publicados no site de Segurança da AWS. Indivíduos, empresas e equipes de segurança normalmente publicam informes nos seus próprios sites e em outros fóruns e, quando for relevante, incluiremos links para estes recursos de terceiros nos boletins de segurança da AWS.  

Safe Harbor

A AWS acredita que a pesquisa de segurança realizada em boa fé deva receber o certificado de conformidade com o safe harbor. Nós adotamos os Principais termos da Disclose.io, sujeitos às condições a seguir, e esperamos trabalhar com pesquisadores de segurança que compartilhem nossa paixão pela proteção dos clientes da AWS.

Escopo

As atividades a seguir estão fora do escopo do programa de relatório de vulnerabilidade da AWS. A condução de qualquer uma das atividades a seguir resultará na desqualificação permanente do programa.

  1. Direcionar ativos de clientes da AWS ou de sites não AWS hospedados na nossa infraestrutura
  2. Qualquer vulnerabilidade obtida através do comprometimento de contas de cliente ou colaborador da AWS
  3. Qualquer ataque de negação de serviços contra produtos ou clientes da AWS
  4. Ataques físicos contra colaboradores, escritórios e datacenters da AWS
  5. Engenharia social de colaboradores, empresas contratadas, fornecedores ou prestadores de serviço da AWS
  6. Sabidamente publicar, transmitir, fazer upload, enviar links ou malware
  7. Procurar vulnerabilidades que enviem mensagens em massa não solicitadas (SPAM)

Política de divulgação

Assim que o relatório for enviado, a AWS trabalhará para validar e reproduzir a vulnerabilidade relatada. Se forem necessárias informações adicionais para validar ou reproduzir o problema, a AWS trabalhará com você para obtê-las. Quando a investigação inicial estiver concluída, os resultados serão entregues a você junto com um plano para resolução e discussão de divulgação pública.

Algumas observações sobre o processo de avaliação da AWS:

  1. Produtos de terceiros: muitos fornecedores oferecem produtos dentro da nuvem AWS. Se for considerado que a vulnerabilidade afeta um produto de terceiro, a AWS notificará o autor da tecnologia afetada. A AWS continuará a fazer a coordenação entre você e a empresa externa. Sua identidade não será divulgada para terceiros sem sua permissão.
  2. Confirmação de não vulnerabilidades: se o problema não puder ser validado ou não for constatada sua origem em um produto da AWS, isso será compartilhado com você.
  3. Classificação de vulnerabilidades: a AWS usa a versão 3.1 do Common Vulnerability Scoring System (CVSS) para avaliar possíveis vulnerabilidades. A pontuação resultante ajuda a quantificar a gravidade da vulnerabilidade e a priorizar nossa resposta. Para obter mais informações sobre o CVSS, consulte o site do NVD.
Entre em contato com um representante comercial da AWS
Dúvidas? Entre em contacto com um representante comercial da AWS
Você está explorando funções de segurança?
Inscreva-se hoje »
Você quer ficar atualizado sobre a segurança da AWS?
Siga-nos no Twitter »