[GTER] reportar eventos de regurança

[Marcus Diogo]

Valeu Vandersone Brenno pelas respostas mas eu tenho acesso ao assessor da
presidência da instituição e já entrei em contato com ele.
O problema é que não sei se entidades que detêm informações de um numero
grande de pessoas no brasil poderia tratar com descaso essas informações.
Parece que nos Gringos é obrigado reportar incidentes de segurança vide
uber, yahoo que recebem processinhos por não fazer isso.
Não sei se aqui isso é plausível ou tem alguma regulamentação mas parece
que não. Teria realmente que ver nos embrolhos legais de cada tipo de
instituição . Parece que tratam da forma "espero que ninguém saiba".






Em 23 de novembro de 2017 16:00, Brenno Oliveira <brenno at bsd.com.br>
escreveu:

> boa noite Marcus,
>
> Reporte ao CTIR[1] (ou ao CSIRT pertinente - voce pode encontrar uma lista
> de contatos no site do CERT.br[2]).
> Não existe regulamentação prática sobre isso, a mailbox security@
> (RFC2142)
> raramente é usada e as vezes aparece alguma iniciativa de tentar padronizar
> como por exemplo security.txt[3] ou humans.txt[4]
> Em relação a embargo não faço ideia se tem um padrão mas em 2017 deveria
> sem berm curto :-)
>
> [1] http://www.ctir.gov.br
> [2] https://www.cert.br/csirts/brasil/
> [3] https://securitytxt.org
> [4] http://humanstxt.org
>
> 2017-11-23 16:59 GMT+01:00 Marcus Diogo <mvdiogoce at gmail.com>:
>
> > Boa tarde,
> >
> > Como faço para reportar eventos de falha de segurança em um site de uma
> > para estatal brasileira?
> > Existe alguma regulamentação sobre isso? Eles tem algum prazo para
> resolver
> > depois de reportado a falha de segurança em sua rede?
> > Eles ou nós temos que reportar ao cert?
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>