Código de conduta - Internet Cleanup Foundation

Aviso: O original desta página foi escrito em neerlandês. Esta página foi traduzida automaticamente para outras línguas utilizando DeepL. Isto pode resultar em diferenças de nuance, tom e significado. Em caso de dúvida, consulta sempre primeiro a versão neerlandesa. Devido ao elevado custo das traduções, esta página pode ficar aquém da versão neerlandesa em termos de conteúdo. Consideramos a versão neerlandesa desta página como líder.

Código de Conduta da Internet Cleanup Foundation versão 1.0

Os voluntários da Internet Cleanup Foundation conduzem as suas actividades de acordo com este código de conduta.

A Internet Cleanup Foundation é uma fundação holandesa que tem como objetivo tornar a Internet segura. Os objectivos subjacentes são uma sociedade resiliente contra as ameaças em linha e que todos possam utilizar a Internet em segurança. Fazemo-lo, em parte, fornecendo informações sobre a disponibilidade, integridade e confidencialidade dos serviços digitais. Por exemplo, visualizando a aplicação de medidas de segurança digital.
Este código de conduta estabelece uma base ética para as nossas actividades. É essencial, uma vez que se trata de trabalhar com dados potencialmente sensíveis e, na maioria dos casos, sem consentimento prévio ou acordo de processamento.
Trabalhamos com:
1. a pesquisa (automatizada) de domínios e a medição automatizada de (medidas de proteção contra) vulnerabilidades em infra-estruturas digitais
2. visualizar em grande escala a aplicação ou a ausência de requisitos de segurança, quando é eticamente aceitável publicá-la (ver política de publicação)
3. comunicar estas descobertas da forma mais pública possível, com o objetivo de resolver quaisquer vulnerabilidades
4. Trabalha com organizações de confiança para resolver estas vulnerabilidades
Estamos conscientes de que estamos a pisar o limite do que é legalmente permitido. Por isso, as nossas actividades são baseadas em considerações cuidadosas. As actividades devem sempre respeitar as seguintes bases:
1. Benefício social: actuamos no interesse público porque acreditamos que a Internet deve ser um local seguro para todos. As nossas actividades não são motivadas por interesses financeiros, políticos ou individuais.
2. Proporcionalidade: o objetivo é aumentar a disponibilidade, a integridade e a confidencialidade dos serviços em linha, com o objetivo maior de tornar a sociedade mais segura. Os nossos esforços visam aumentar a segurança e não enfraquecê-la.
3. Subsidiariedade: escolhe sempre a solução que atinge o objetivo com o menor impacto.
Somos meticulosos: as medições são verificáveis, fundamentadas e claramente formuladas. Criamos e utilizamos ferramentas de medição que são de alta qualidade e não causam danos aos sistemas ou infra-estruturas. As medições nunca são efectuadas para além do que é necessário para demonstrar a vulnerabilidade ou a ausência de uma medida de segurança.
Estamos conscientes da complexidade da Internet e da infraestrutura digital. Por conseguinte, o princípio “cumprir ou explicar” é aplicado às medições. Isto cria uma norma sobre as excepções à segurança básica que são aceitáveis em cada situação. Esta política é publicada publicamente para que as organizações a possam cumprir. Uma explicação é aceite se se tratar de uma solução “de raiz”. No caso de explicações que indiquem erros de medição, as ferramentas de medição são mais focadas e a medição actualizada.
Medimos e publicamos a uma escala nacional e dirigimo-nos a indústrias inteiras e a organizações de cúpula relevantes. Tratamos todas as organizações como iguais e esperamos que todas cumpram os mesmos requisitos de segurança.
As vulnerabilidades são publicadas, se possível, de acordo com este código de conduta. A publicação tem uma série de caraterísticas que procuramos explicitamente:
1. Torna-se claro para as pessoas com menos conhecimentos de segurança digital a forma como as organizações lidam com a segurança. Podem tirar conclusões e fazer pressão para melhorar,
2. A segurança torna-se tangível para os condutores, permitindo-lhes orientar-se para ela em vez de navegarem às cegas,
3. Evita a necessidade de uma grande organização de pessoal ter de tratar e acompanhar cada vulnerabilidade individualmente,
4. Está a surgir a transparência: da extensão dos serviços em linha e da sua qualidade. Esta imagem não existe em muitas organizações, o que faz com que, por exemplo, os sistemas sejam esquecidos, não sejam corrigidos e se tornem cada vez mais vulneráveis.
5. Estamos a tornar público o que já é público, enquanto protegemos o que deve ser protegido. Por outras palavras, “Öffentliche Daten nützen, private Daten schützen”.
As medições publicadas são actuais. São repetidas regularmente e, na maior parte dos casos, não têm mais de 2 meses. Consequentemente, cada organização que está a ser avaliada tem o controlo da sua própria avaliação.
Comunicamos as vulnerabilidades de segurança básicas comunicando-as publicamente e o mais amplamente possível. O proprietário dos sistemas é responsável por resolver as descobertas.
Todas as pessoas envolvidas nas actividades da fundação têm conhecimento destas regras de conduta e asseguram o seu cumprimento. Se alguém não cumprir estas regras de conduta, são tomadas medidas. Uma dessas medidas é, por exemplo, a recusa de acesso a projectos e infra-estruturas.
Antes de publicar informações sobre novos grupos de organizações, as organizações de cúpula serão contactadas para anunciar e agilizar a publicação para uma aterragem suave com os responsáveis. Após um período de aterragem de, pelo menos, um mês, a publicação será efectuada.
Os novos tipos de medições são anunciados às organizações de cúpula. Assim, estas têm a oportunidade de as transmitir aos seus participantes para um acompanhamento rápido.
Aplicamos os slogans dos hackers “sê excelente uns com os outros” e “todas as criaturas são bem-vindas” às boas maneiras sociais na fundação.

Este código de conduta é inspirado no do Instituto Holandês para a Divulgação de Vulnerabilidades, pelo qual agradece.