1. Objetivo da política

A LuxpowerTek está comprometida em fornecer produtos e serviços seguros e confiáveis aos nossos clientes em todo o mundo. Incentivamos pesquisadores de segurança, parceiros e clientes a relatar potenciais vulnerabilidades por meio de práticas de divulgação responsáveis, permitindo-nos abordar e mitigar riscos prontamente.

2. Processo de Relatório

Para enviar um relatório de vulnerabilidade, use os seguintes canais:

E-mail

security@luxpowertek.com (Criptografia PGP recomendada)

Formulário Online/Portal de Segurança

Os detalhes de qualquer portal de segurança dedicado serão anunciados separadamente

Inclua as seguintes informações no seu relatório:

  • Modelo do produto afetado e versão de firmware/software
  • Descrição detalhada da vulnerabilidade e etapas para reprodução (ou Prova de Conceito)
  • Análise de impacto potencial
  • Informações de contato para comunicação de acompanhamento

PONTAS:

Para garantir uma divulgação responsável, evite divulgar publicamente a vulnerabilidade até que uma correção oficial seja lançada.

3. Escopo de testes de segurança e limites de conformidade

Atividades de Teste Permitidas

  • Teste de dispositivo local
  • Análise de comunicação de rede
  • Validação de configuração e permissão

Atividades Proibidas❌

  • Acesso não autorizado ou roubo de dados do usuário
  • Exploração de vulnerabilidades que causam interrupção ou danos ao serviço
  • Ataques de varredura em larga escala ou de negação de serviço direcionados a ambientes de produção

4. Processo e cronograma de resposta à vulnerabilidade

A LuxpowerTek adere às melhores práticas internacionais e estabeleceu um processo de resposta padronizado para lidar com vulnerabilidades:

  1. Reconhecimento: Dentro de 5 dias úteis após o recebimento do relatório, confirmaremos o recebimento.
  2. Validação e Avaliação:Nossa equipe de segurança validará a vulnerabilidade e avaliará seu nível de risco usando o padrão CVSS v3.1.
  3. Plano de Remediação:Dependendo da gravidade, desenvolveremos um plano de correção ou mitigação.
  4. Comunicação: Manteremos contato com o repórter durante todo o processo, solicitando informações adicionais conforme necessário.
  5. Divulgação pública osura: Após a resolução, um aviso de vulnerabilidade será publicado em nosso boletim de segurança, com reconhecimento ao pesquisador se o consentimento for fornecido.

O cronograma típico de resolução e divulgação é 90–120 dias, com vulnerabilidades críticas priorizadas para tratamento rápido.

5. Classificação de gravidade da vulnerabilidade

As vulnerabilidades são classificadas com base no padrão CVSS v3.1 da seguinte forma:

Baixo (0,1–3,9)

Impacto mínimo, resolvido em iterações subsequentes.

Médio (4,0–6,9)

Impacto limitado, abordado em atualizações de software de rotina.

Alto (7,0–8,9)

Vulnerabilidades de alto impacto priorizadas para resolução rápida.

Crítico (9,0–10,0)

Correção imediata com lançamento urgente de patch.

6. Aviso

Princípios de Divulgação Coordenada

A LuxpowerTek adere a uma DCV(Divulgação coordenada de vulnerabilidades) modelo para garantir que vulnerabilidades não sejam divulgadas publicamente antes do lançamento de um patch.

Os pesquisadores são solicitados a fornecer uma janela de remediação razoável, normalmente 90 dias, para facilitar a resolução em tempo hábil.

Isenção Legal

Desde que os testes de vulnerabilidade e a divulgação sejam conduzidos de acordo com esta política, a LuxpowerTek não tomará medidas legais contra os pesquisadores e considerará tais atividades como pesquisa de segurança de boa-fé.

Isenção de responsabilidade

Esta política pode ser atualizadad para refletir os desenvolvimentos do setor e os requisitos legais. A LuxpowerTek não assume nenhuma garantia ou responsabilidade por quaisquer perdas diretas ou indiretas resultantes da divulgação de vulnerabilidades ou atrasos na correção.