Relatório de vulnerabilidade

Resolva potenciais vulnerabilidades de qualquer ordem em nossos serviços de nuvem

A Amazon Web Services leva a segurança muito a sério e investiga todas as vulnerabilidades reportadas. Esta página descreve nossa prática de tratamento de vulnerabilidades potenciais em todos os aspectos de nossos serviços de nuvem.

Relatando suspeitas de vulnerabilidades

  • Amazon.com (varejo): Se tiver uma dúvida de segurança sobre da Amazon.com (varejo), central do vendedor, Amazon Payments ou outros assuntos, como pedidos ou e-mails suspeitos, cobranças inválidas em cartão de crédito ou denúncia de vulnerabilidades, acesse a nossa página da Web do Security for Retail (Segurança no varejo).
  • Amazon Web Services (AWS): Se desejar denunciar uma vulnerabilidade ou tiver dúvidas de segurança a respeito dos serviços da Nuvem AWS, envie um e-mail para aws-security@amazon.com. Se você deseja proteger seu e-mail, pode usar o PGP. Encontre nossa chave PGP.

Se você suspeita que alguns recursos da AWS (como uma instância do EC2 ou um bucket do S3) estão sendo usados para atividades suspeitas, você pode denunciar o caso para a equipe de abuso da AWS.

Para que possamos responder com mais eficácia ao seu relatório, forneça qualquer material de suporte (código de prova de conceito, saída da ferramenta etc.) que seja útil para nos ajudar a entender a natureza e a gravidade da vulnerabilidade.

As informações que você compartilha com a AWS como parte desse processo são mantidas em sigilo com a AWS. Elas não serão compartilhadas com terceiros sem sua permissão.

A AWS examinará o relatório enviado e lhe atribuirá um número de controle. Nós lhe responderemos, acusando o recebimento do relatório e delineando as próximas etapas no processo.

Avaliação da AWS

Assim que o relatório for examinado, a AWS trabalhará para validar e reproduzir a vulnerabilidade relatada. Se forem necessárias informações adicionais para validar ou reproduzir o problema, a AWS trabalhará com você para obtê-las. Quando a investigação inicial estiver concluída, os resultados serão entregues a você junto com um plano para resolução e divulgação pública.

Alguns comentários sobre o processo de avaliação da AWS:

  • Produtos de terceiros: Muitos fornecedores oferecem produtos dentro da nuvem AWS. Se a vulnerabilidade for encontrada para afetar um produto de terceiro, a AWS notificará o autor do software afetado. A AWS continuará a fazer a coordenação entre você e a empresa terceira. A sua identidade não será divulgada para terceiros sem a sua permissão.
  • Confirmação de não vulnerabilidades: Se o problema não puder ser validado ou não for constatado como uma falha no produto da AWS, isso será compartilhado com você.
  • Classificação de vulnerabilidades: A AWS usa a versão 2.0 do Common Vulnerability Scoring System (CVSS) para avaliar possíveis vulnerabilidades. A pontuação resultante ajuda a quantificar a gravidade da vulnerabilidade e a priorizar a nossa resposta. Para obter mais informações sobre o CVSS, consulte o anúncio do CVSS-SIG.

A AWS é comprometida em ser responsiva e mantê-lo informado sobre nosso progresso conforme investigamos e/ou mitigamos a suspeita de segurança reportada. Você receberá uma resposta não automatizada ao seu contato inicial dentro de 24 horas, confirmando o recebimento de sua vulnerabilidade relatada. Você receberá de nós atualizações de progresso a, pelo menos, cada cinco dias úteis.

Notificação pública

Se aplicável, a AWS coordenará a notificação pública de uma vulnerabilidade validada com você. Quando possível, preferimos que nossas respectivas divulgações públicas sejam publicadas simultaneamente.

Para proteger nossos clientes, a AWS solicita que você não publique ou compartilhe nenhuma informação sobre uma vulnerabilidade potencial em qualquer ambiente público até que tenhamos pesquisado, respondido e tratado da vulnerabilidade relatada e os clientes tenham sido informados, se necessário. Ademais, pedimos respeitosamente que você não publique nem compartilhe nenhum dado pertencente a nossos clientes. A resolução de uma vulnerabilidade relatada válida levará algum tempo. Esse variará dependendo da gravidade da vulnerabilidade e dos sistemas afetados.

As notificações públicas da AWS são feitas na forma de boletins de segurança, que são postados no Centro de Segurança da AWS. Indivíduos, empresas e equipes de segurança normalmente publicam informes nos seus próprios sites e em outros fóruns e, quando for relevante, iremos incluir links para estes recursos de terceiros nos boletins de segurança da AWS.

Entre em contato com um representante comercial da AWS
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de segurança?
Inscreva-se hoje »
Você quer ficar atualizado sobre a segurança da AWS?
Siga-nos no Twitter »