Na Automation Anywhere, a segurança é nossa prioridade, e nos importamos profundamente em manter a confiança e a credibilidade que nossos clientes depositam em nós. Como cliente da Automation Anywhere, você pode realizar varreduras de segurança externas, avaliações ou testes de penetração em relação ao seu próprio locatário registrado da Automation Anywhere externamente, com aprovação prévia. O teste agendado deve ser pré-aprovado e realizado em uma data e hora que tenham sido acordadas com a Automation Anywhere.

Esta página define o escopo, o processo de solicitação de aprovação e as diretrizes para o processo de geração de relatórios para uma atividade de teste de vulnerabilidade e teste de penetração acordada e única (é permitido um intervalo de teste por aprovação) por nossos clientes. Se você descobrir uma vulnerabilidade em nossos sistemas, aplicativos ou infraestrutura de rede durante esse teste, a Automation Anywhere agradece sua ajuda em nos informar de maneira responsável.

Escopo

O escopo desse teste é limitado apenas às vulnerabilidades e fraquezas de segurança descobertas no URL do locatário de produção do Automation 360 Nuvem que foi atribuído a você, como um de nossos clientes existentes. O exemplo de um URL ou domínio assim será algo no seguinte formato: https://sample_organization.automationanywhere.digital.

Pedido de processo de aprovação

A maioria dos clientes confia nos testes contínuos de penetração de terceiros da Automation Anywhere, realizados anualmente por diferentes fornecedores. Os relatórios desses testes são disponibilizados sob NDA, juntamente com quaisquer planos de correção necessários.

Se você precisar realizar seu próprio teste de penetração, a Automation Anywhere solicitará uma notificação com pelo menos duas semanas de antecedência. Entre em contato com o suporte da Automation Anywhere: Abra um caso de suporte (login A-People necessário) para esta solicitação de envio e notificação. Na notificação de solicitação, forneça as seguintes informações:
  • URLs específicos planejados para serem testados
  • Região (se restritiva)
  • Período de teste, datas de início e término em que o teste ocorrerá
  • Endereços IP dos dispositivos que estão realizando os testes
  • Metodologia: Caixa preta, caixa branca ou caixa cinza
  • Scans automatizados: Sim ou não
  • Ataques do tipo DOS: Sim ou não
  • Ataques do tipo força bruta ou de dicionário: Sim ou não
  • Informações relevantes adicionais

Diretrizes

Preste atenção nas seguintes diretrizes ao realizar o teste:

  • Relate qualquer problema de segurança potencial o mais rápido possível. A Automation Anywhere fará todo o possível para responder rapidamente e resolver o problema
  • Forneça detalhes suficientes para reproduzir a vulnerabilidade, incluindo prova de conceito.
  • Não divulgue um problema ao público ou a terceiros até que a Automation Anywhere tenha fornecido uma resposta oficial
  • Faça um esforço de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação do nosso serviço. Interaja apenas com aplicativos e locatários de sua propriedade ou para os quais você tenha permissão explícita do titular da conta.
  • Reduzir qualquer linguagem ou imagem que possa identificar ou fornecer detalhes sobre o aplicativo, nossos clientes ou suas vulnerabilidades, se houver.
  • Não realize testes de interrupção (como negação de serviço, DoS) ou qualquer ação que possa causar impacto na confidencialidade, integridade ou disponibilidade das informações e dos sistemas da Automation Anywhere
  • Não se envolva em engenharia social ou phishing de clientes ou funcionários
  • Não solicite compensação por tempo e materiais para as vulnerabilidades descobertas.

Atividades proibidas

Não realize as seguintes atividades:

  • Domínios ou subdomínios fora do escopo de teste aprovado
  • Executar ou tentar executar qualquer ataque de Negação de Serviço (DoS)
  • Vulnerabilidades que exigem acesso físico ao computador ou dispositivo de um usuário
  • Teste de vulnerabilidades em sites de parceiros da Automation Anywhere, aplicativos de terceiros, sites ou serviços que se integram ou se vinculam aos sistemas da Automation Anywhere.
  • Ataques físicos contra escritórios ou centros de dados da Automation Anywhere
  • Acessar, baixar ou modificar dados que residem em uma conta que não pertence a você
  • Publicar, transmitir, fazer upload, vincular, enviar ou armazenar qualquer software malicioso
  • Testar de uma maneira que resulte no envio de e-mails indesejados ou não autorizados, spam, esquemas de pirâmide ou outras formas de mensagens não solicitadas.
  • Testar de uma maneira que degrade a operação de quaisquer sistemas da Automation Anywhere

Relatórios

Após o período de teste ter terminado, envie as descobertas de vulnerabilidades de segurança por meio do suporte da Automation Anywhere: Abra um caso de suporte (login no A-People necessário). Ao relatar vulnerabilidades, forneça os cenários de ataque, casos de teste específicos e detalhados, a explorabilidade (se houver) e o impacto na segurança da vulnerabilidade. A Automation Anywhere se compromete a:

  • Trabalhar com você para entender e validar o problema
  • Abordar o risco (se considerado apropriado pela Automation Anywhere)