Política de Divulgação Coordenada de Vulnerabilidades Zyxel

Introdução

A Zyxel está comprometida em promover a segurança de seus produtos e clientes, estabelecendo diretrizes claras para o recebimento, tratamento e remediação de vulnerabilidades reportadas por pesquisadores, clientes ou parceiros. Este documento descreve o processo para identificação, análise e solução dessas vulnerabilidades, promovendo uma parceria aberta com a comunidade de segurança.

Escopo Inicial

Esta política cobre os seguintes produtos e serviços Zyxel:

  • Equipamentos do cliente (modem, ONU, ONT, CPE, roteador wireless ou FWA)
  • Demais produtos e serviços oferecidos pela Zyxel, conforme detalhado em comunicados oficiais.

Diretrizes para Relato de Vulnerabilidades

Pesquisadores ou profissionais que desejam reportar vulnerabilidades devem seguir as orientações abaixo. O relatório deve ser redigido em português ou inglês.

Inclua as seguintes informações ao relatar uma vulnerabilidade de segurança:

  • Modelo(s) afetado(s) e versão(ões) de firmware/software
  • Descrição da vulnerabilidade e impactos potenciais
  • Instruções passo a passo para reproduzir o problema
  • Prova de conceito (PoC) ou código para exploração do problema

Informações opcionais (úteis)

  • Quaisquer soluções sugeridas para corrigir
  • Enumeração de fraquezas (por exemplo, CWE)
  • Gravidade (por exemplo, CVSS v3.x) 

Além disso, siga as recomendações abaixo

  • Informar o bug, impacto, possíveis formas de exploração e sugestões de remediação.
  • Preferencialmente, anexar provas de conceito (PoC), logs ou evidências que facilitem a validação.
  • Destacar eventuais planos de divulgação pública.
  • Comprometer-se com o uso responsável de possíveis dados sensíveis e evitar testes que causem impacto indevido aos usuários finais.

Observações

A Zyxel não tem um programa de recompensa por bugs de segurança para vulnerabilidades relatadas;

Vulnerabilidades fora do escopo descrito podem ter prioridade reduzida;

Relatórios baseados apenas em telas de erro ou resultados de ferramentas automáticas terão prioridade menor.

O Que Esperar da Zyxel

Ao receber um relatório válido, a Zyxel compromete-se a:

  • Responder em até 5 dias úteis quanto ao recebimento do relato.
  • Informar prazos estimados para correção ou fornecer transparência quanto a eventuais dificuldades.
  • Manter canal aberto de comunicação durante a análise do caso e informar formalmente quando a vulnerabilidade for validada.
  • Conceder créditos ao pesquisador, caso solicitado, após a validação e remediação.
  • Critérios de Aceitação, Priorização e Classificação

As vulnerabilidades serão avaliadas quanto ao impacto e risco para os clientes. Sempre que aplicável, será utilizada uma metodologia reconhecida, como o CVSS, para priorização:

  • Para componentes de terceiros ou softwares open source, a pontuação e severidade seguirão critérios equivalentes, podendo ser ajustados conforme contexto e políticas do fornecedor.
  • Processo de Tratamento e Comunicação
  • Recebimento e validação inicial do relato.
  • Investigação pela equipe de Engenharia e Segurança para confirmação e análise de causa raiz.
  • Classificação conforme impacto, risco e abrangência.
  • Análise de necessidade de coordenação com parceiros, fornecedores ou terceiros.
  • Planejamento e desenvolvimento da remediação.
  • Comunicação ao relator sobre o andamento e decisão final.
  • Divulgação de comunicados de segurança após validação e liberação da correção, com informações de mitigação se necessário.

Condições Legais e de Responsabilidade

A participação no processo de divulgação coordenada não concede quaisquer direitos de propriedade intelectual sobre produtos ou serviços da Zyxel Communications do Brasil Ltda.

Ao participar do processo, o relator concorda em respeitar a legislação vigente, agir de maneira ética, obter permissões de clientes quando necessário para testes, e não divulgar publicamente detalhes das vulnerabilidades antes de 90 dias ou outro prazo acordado.

A Zyxel não tomará medidas legais contra os responsáveis pelo relato, desde que cumpram todas as regras aqui descritas.

Confidencialidade e Salvaguardas

Informações sobre vulnerabilidades e dados de relatores serão tratadas com estrito sigilo, de acordo com boas práticas de segurança da informação.

O acesso será restrito ao time responsável e parceiros, apenas quando estritamente necessário.

A divulgação será planejada para evitar exposição prematura e proteger clientes e parceiros contra riscos de exploração.

Pós-correção e Melhoria Contínua

Após a divulgação e correção, a Zyxel:

  • Monitorará a estabilidade dos serviços e possíveis efeitos colaterais.
  • Promoverá atualizações internas nos processos de desenvolvimento seguro, prevenindo incidentes semelhantes.
  • Fará revisões periódicas desta política para constante aprimoramento.