A Amazon Web Services leva a segurança muito a sério e investiga todas as vulnerabilidades reportadas. Esta página descreve nossa prática de tratamento de vulnerabilidades potenciais em todos os aspectos de nossos serviços de nuvem.

  • Varejo da Amazon.com – Se tiver uma dúvida de segurança sobre varejo da Amazon.com, central do vendedor, Amazon Payments ou outros assuntos, como pedidos ou e-mails suspeitos, cobranças inválidas em cartão de crédito ou denúncia de vulnerabilidades, acesse: https://amazon.com/security
  • Amazon Web Services (AWS) – Se desejar denunciar uma vulnerabilidade ou tiver dúvidas de segurança a respeito dos serviços da Nuvem AWS, como EC2, S3, CloudFront, RDS etc., envie um e-mail para aws-security@amazon.com. Se você deseja proteger seu e-mail, pode usar o PGP. Encontre nossa chave aqui.

Se você suspeita que alguns recursos da AWS (como uma instância do EC2 ou um bucket do S3) estão sendo usados para atividades suspeitas, você pode denunciar o caso para a equipe de abuso da AWS aqui.

Para que possamos responder de forma mais eficaz à solicitação, forneça quaisquer materiais de suporte disponíveis (código de prova de conceito, saída da ferramenta etc.) que possa ser útil para ajudar-nos a compreender a natureza e gravidade da vulnerabilidade.

As informações que você compartilha com a AWS como parte desse processo são mantidas em sigilo com a AWS. Elas não serão compartilhadas com terceiros sem sua permissão.

A AWS examinará o relatório enviado e lhe atribuirá um número de controle. Nós lhe responderemos, acusando o recebimento do relatório e delineando as próximas etapas no processo.

Assim que o relatório for examinado, a AWS trabalhará para validar e reproduzir a vulnerabilidade relatada. Se forem necessárias informações adicionais para validar ou reproduzir o problema, a AWS trabalhará com você para obtê-las. Quando a investigação inicial estiver concluída, os resultados serão entregues a você junto com um plano para resolução e divulgação pública.

Alguns comentários sobre o processo de avaliação da AWS:

  • Produtos terceirizados. Muitos fornecedores oferecem produtos dentro da nuvem AWS. Se a vulnerabilidade for encontrada para afetar um produto de terceiro, a AWS notificará o autor do software afetado. A AWS continuará a fazer a coordenação entre você e a empresa terceira. A sua identidade não será divulgada para terceiros sem a sua permissão.
  • Confirmação de não-vulnerabilidades. Se o problema não puder ser validado ou não for constatado como uma falha no produto da AWS, isso será compartilhado com você.
  • Classificação de vulnerabilidade. A AWS usa a versão 2.0 do Common Vulnerability Scoring System (CVSS) para avaliar possíveis vulnerabilidades. A pontuação resultante ajuda a quantificar a gravidade da vulnerabilidade e a priorizar a nossa resposta. Para obter mais informações sobre o CVSS, consulte o Anúncio do CVSS-SIG.

A AWS é comprometida em ser responsiva e mantê-lo informado sobre nosso progresso conforme investigamos e/ou mitigamos a suspeita de segurança reportada. Você receberá uma resposta não automatizada ao seu contato inicial dentro de 24 horas, confirmando o recebimento de sua vulnerabilidade relatada. Você receberá de nós atualizações de progresso a, pelo menos, cada cinco dias úteis.

Se aplicável, a AWS coordenará a notificação pública de uma vulnerabilidade validada com você. Quando possível, preferimos que nossas respectivas divulgações públicas sejam publicadas simultaneamente.

Para proteger nossos clientes, a AWS solicita que você não publique ou compartilhe nenhuma informação sobre uma vulnerabilidade potencial em qualquer ambiente público até que tenhamos pesquisado, respondido e tratado da vulnerabilidade relatada e os clientes tenham sido informados, se necessário. Ademais, pedimos respeitosamente que você não publique nem compartilhe nenhum dado pertencente a nossos clientes. A resolução de uma vulnerabilidade relatada válida levará algum tempo. Esse variará dependendo da gravidade da vulnerabilidade e dos sistemas afetados.

As notificações públicas da AWS são feitas na forma de boletins de segurança, que são postados no Centro de Segurança da AWS. Indivíduos, empresas e equipes de segurança normalmente publicam informes nos seus próprios sites e em outros fóruns e, quando for relevante, iremos incluir links para estes recursos de terceiros nos boletins de segurança da AWS.

 

Entre em contato conosco