Questa Informativa disciplina tutte le violazioni o le vulnerabilità in materia di sicurezza delle informazioni che si sono verificate nelle attività operative delle consociate di Globant e di altre società controllate.
Questa Informativa definisce le procedure per segnalare al personale Globant eventuali violazioni dei dati o una vulnerabilità riscontrata in uno dei sistemi di Globant. Per violazione dei dati si intende la perdita di, l'accesso non autorizzato a o la divulgazione non autorizzata di informazioni personali. Una vulnerabilità indica qualunque problema che è possibile trovare in un sistema e che potrebbe portare a una violazione dei dati o a un'interruzione del servizio fornito.
Il rispetto di questa procedura e del piano di risposta permetterà a Globant di contenere, valutare e rispondere alle violazioni dei dati o alle vulnerabilità rapidamente e di contenere i danni che ne possono derivare.
Per Globant, è molto importante assicurare la riservatezza, l'integrità e la disponibilità delle proprie informazioni e dei propri sistemi. Apprezziamo il lavoro svolto dai ricercatori della sicurezza, che ci aiutano a migliorare le nostre misure di sicurezza. Per questo motivo è importante definire una procedura chiara per segnalare vulnerabilità o violazioni della sicurezza. Tutte le vulnerabilità e/o le violazioni della sicurezza devono essere segnalate a: vulnerabilities@globant.com
Globant invita i ricercatori della sicurezza a segnalare le vulnerabilità e le violazioni che ritengono di aver trovato. Tutte le segnalazioni inviate nel rispetto di questa informativa saranno oggetto di indagine e i problemi che potrebbero emergere saranno risolti al più presto. Se si compie in buona fede ogni sforzo per soddisfare questa informativa nel corso di attività di ricerca sulla sicurezza, tale attività di ricerca sarà ritenuta autorizzata e lavoreremo insieme per comprendere e risolvere il problema rapidamente e non consiglieremo né avvieremo azioni legali in merito a tale ricerca.
I seguenti punti descrivono le azioni che i ricercatori devono, non devono e possono compiere nelle loro attività di testing:
I ricercatori della sicurezza devono:
- Interrompere l'attività di testing e informare Globant immediatamente se rilevano una vulnerabilità.
- Interrompere l'attività di testing e informare Globant immediatamente se rilevano una divulgazione di dati non pubblici.
- Eliminare tutti i dati non pubblici archiviati di Globant al momento della segnalazione della vulnerabilità.
I ricercatori della sicurezza possono:
- Visualizzare o conservare i dati non pubblici di Globant solo nella misura necessaria per documentare la presenza di una possibile vulnerabilità.
I ricercatori della sicurezza non devono:
- Testare sistemi diversi da quelli elencati di seguito.
- Divulgare informazioni sulla vulnerabilità, eccetto nei casi indicati nelle sezioni "Segnalazione di una vulnerabilità" e "Divulgazione" di seguito.
- Avviare il testing fisico di strutture o risorse.
- Avviare attività di social engineering.
- Inviare messaggi di posta elettronica non richiesti agli utenti di Globant, inclusi messaggi di phishing.
- Compiere o tentare di compiere attacchi "Denial of Service" o "Resource Exhaustion".
- Introdurre software dannoso.
- Effettuare il testing in modo da compromettere il funzionamento dei sistemi di Globant; o compromettere, bloccare o danneggiare intenzionalmente i sistemi di Globant.
- Eliminare, modificare, condividere, conservare o distruggere i dati di Globant o rendere i dati di Globant inaccessibili.
- Utilizzare un'azione per esfiltrare dati, stabilire accesso dalla riga di comando, definire una presenza persistente sui sistemi di Globant.
Abbiamo definito che le attività di ricerca possono essere effettuate sui seguenti sistemi:
- www.globant.com
- Jira.globant.com
- investors.globant.com/sec-filings
- powerbi.globant.com/
- github.globant.com/
- www.starmeup.com/
- betterme.starmeup.com
- takepart.starmeup.com
I ricercatori possono inviare i report in forma anonima, anche se è preferibile indicare un metodo di contatto per poter chiarire le informazioni sulle vulnerabilità segnalate o altri scambi di natura tecnica.
Quando si segnala una vulnerabilità o una violazione della sicurezza, è preferibile ricevere una descrizione tecnica delle fasi per riprodurla, inclusi strumenti, immagini e altra documentazione che sia possibile allegare ai report.
Le informazioni da fornire (se note) a questo punto sono:
- Quando la violazione si è verificata o la vulnerabilità è stata sfruttata (data e ora).
- Descrizione della violazione/vulnerabilità (tipo di informazioni personali coinvolte).
- Causa della violazione (se nota) o come è stata scoperta.
- Quali sistemi sono stati colpiti?
- Quale progetto/area/attività è stata coinvolta?
Globant stabilirà la gravità secondo i seguenti criteri:
- Il tipo e la quantità di informazioni personali coinvolte
- Se la violazione ha interessato più soggetti
- Se le informazioni sono protette tramite altre misure di sicurezza (protezione con password o crittografia).
- La persona o i tipi di persone che adesso hanno accesso
- Se sussiste (o potrebbe sussistere) un rischio reale di lesione grave ai soggetti interessati
- Se la violazione o la sospetta violazione può catturare l'attenzione di media o parti interessate