Schwachstellen/Sicherheitslücken/Vorfälle melden

Als globaler Technologieführer verpflichtet sich Barco zur Bereitstellung sicherer Lösungen, Produkte und Services für seine Kunden.
Wir arbeiten kontinuierlich an der Verbesserung unserer Sicherheitsprozesse. Daher fordern wir Sie auf, alle Schwachstellen oder Sicherheitslücken und sicherheitsrelevante Vorfälle zu melden.

Wir bitten Sie, uns zu benachrichtigen, wenn Sie auf eine Schwachstelle oder Sicherheitslücke stoßen, sodass wir schnellstmöglich entsprechende Maßnahmen einleiten können. Helfen Sie uns, damit wir einen noch besseren Schutz für unsere Produkte und Systeme sicherstellen können.
Wir fordern alle Sicherheitsexperten auf, folgende Richtlinien zu befolgen (verantwortungsvolle Informationspolitik).

Bitte gehen Sie wie folgt vor:

  • Senden Sie Ihre Informationen per E-Mail an psirt@barco.com (Barco Product Security Incident Response Team);
  • Verschlüsseln Sie Ihre Informationen mit unserem PGP-Schlüssel (siehe unten), sodass keine vertraulichen Daten in falsche Hände geraten können;
  • Nutzen Sie keine ermittelten Schwachstellen oder Sicherheitslücken aus:
    • Laden Sie nicht mehr Daten als nötig herunter, um die Schwachstelle oder Sicherheitslücke zu melden, und löschen oder ändern Sie keine persönlichen Daten (z. B. wenn eine Sicherheitslücke unbeabsichtigten Zugriff auf Daten zulässt: Beschränken Sie Ihren Datenzugriff auf das erforderliche Minimum, um einen effektiven Nachweis erbringen zu können, unterlassen Sie sofort alle weiteren Tests und übermitteln Sie umgehend einen Bericht, wenn Sie auf jegliche Benutzerdaten während des Testens stoßen, wie personenbezogene Daten (PII), personenbezogene Daten aus dem Gesundheitswesen (PHI), persönliche Daten, Kreditkartendaten oder urheberrechtlich geschützte Daten)
    • Vermeiden Sie die Verletzung der Privatsphäre Dritter, die Beschädigung von Daten und/oder Beeinträchtigung des Benutzererlebnisses anderer
  • Teilen Sie keine Schwachstellen und Sicherheitslücken mit Dritten, ohne die ausdrückliche Genehmigung vom Barco Product Security Incident Response Team (Discretionary Disclosure) einzuholen und zu erhalten;
  • Fordern Sie die ausdrückliche Genehmigung zum Testen von physischen Systemen, die nicht in Ihrem Besitz sind, oder von Drittanbieteranwendungen an;
  • Nutzen Sie keine Methoden wie Social Engineering, (Distributed) Denial-of-Service oder Spam;
  • Stellen Sie ausreichende Informationen in englischer Sprache bereit, um das Problem reproduzieren zu können, sodass wir eine schnellstmögliche Lösung identifizieren können;
  • Je nach System können eine URL oder der Modellname und Firmware-Version des betreffenden Systems und eine Beschreibung der Schwachstelle oder Sicherheitslücke ausreichen, während komplexere Schwachstellen oder Sicherheitslücken eine detailliertere Erläuterung erfordern; und
  • Sehen Sie von jeglichen erpresserischen Versuchen ab.

Unser Versprechen:

  • Wir antworten Ihnen innerhalb von 3 Werktagen;
  • Wir stellen Ihnen innerhalb von 10 Werktagen eine Beurteilung des gemeldeten Berichts bereit und informieren Sie über das voraussichtliche Behebungsdatum;
  • Wenn Sie die obigen Anweisungen befolgt haben, werden wir keinerlei rechtlichen Schritte bezüglich der Meldung vornehmen;
  • Wir behandeln Ihren gemeldeten Bericht streng vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Einwilligung an Dritte weiter;
  • Wir halten Sie über den weiteren Verlauf zur Problemlösung auf dem neuesten Stand;
  • Wir untersuchen die Möglichkeit einer potenziellen Belohnung. Die Entscheidung über eine potenzielle Belohnung obliegt vollständig dem Ermessen von Barco;
  • Derzeit leisten wir keine Zahlungen für die Meldung von Schwachstellen oder Sicherheitslücken; wir verfolgen die Mission einer verantwortungsvollen Offenlegung. Je nach Problem und nach vollständigem Ermessen von Barco setzen wir diese Regel jedoch möglicherweise außer Kraft und bieten Ihnen eine Prämie an.
  • Eventuell nennen wir Ihren Namen als Ermittler der Schwachstelle oder Sicherheitslücke in unserer öffentlichen Kommunikation (wie Versionshinweisen), sofern Sie dem zustimmen;
  • Wir arbeiten stets mit Nachdruck daran, sämtliche Probleme schnellstmöglich zu beheben.

    Versionshistorie:

    22. Mär 2019 v1.0 – basierend auf https://www.responsibledisclosure.nl/en/ (Creative Commons Attribution 3.0 Unported License) und https://disclose.io/ (Creative Commons Attribution 4.0 International License)
    05. Apr 2019 v1.1 – Erklärung zu potenziellen Belohnungen


    -----BEGINN PGP-ÖFFENTLICHER SCHLÜSSEL-BLOCK-----
    Kommentar: User-ID: Barco Product Security Incident Response Team <psirt@barco.com>
    Kommentar: Gültig bis: 11/03/2024 12:00
    Kommentar: Typ: 4.096-Bit RSA
    Kommentar: Fingerprint: AFC7393A37D3ACD187CC113E29AD862E8F3D013C


    mQINBFyGkM8BEADGNjDS4JPLHnn/nCjR4Cjr9BHgPnbnBKfNW7IMW+X3bcXVhtLL
    gb7GoMle0Z9C2nU8jlvornCA6NqQ1pixK+xQ1cIBlSz5G7kdspoX7QTYGW6y1xOh
    GC96vPEKX23YuNnRtEb7z849Q+jnKsVdlCZmdAbHBHJ/wfnb2/nMSeWAbUOpSIuq
    uExJN0gEuWXjvgmKP3NHuJbEw7HnJKpbkrtsttTv5D8L4/N2RtLnczplJ3igoAK8
    9e+LPxzIPkT0F9S+EFaN0IiCfssbJbP5hNqgdrfGgiiaj7wXRUx0gYl2MA6pOjjE
    mA9/lN+U2+EtDzrmOMsei/mahY7IaQ5s67bkSA+/xo+l9a65NTDmJJ4O+suITBO2
    OsE5gNOxqp4vVEsaz+K6X1fjsNpQnTZUxHb48KDzvq0CIKVuR38Fv18Guwga/Spe
    I0jKQdWFDtFWEpZBxbw21TeDrtRm2VQQerUi+o6LyLMtmzDKHGWb7sWVqmx5YcLs
    EOO/fdGsOsqp9nk1N65kgyuuc0BqvqMuhr8Ora6DBxdGJQfxRiHcFXXko4FqStnd
    X9BnWPIkkeZQqR9sZgRlI1CVEuy08PoWUxWlvRGQnK1edH3yk1qliTMjwhC850l8
    VWRp5H+ehkdewUyLh6hMxKWAAdRqMkoj+KIESgntXD7bPmlowualKi6ifwARAQAB
    tD9CYXJjbyBQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0g
    PHBzaXJ0QGJhcmNvLmNvbT6JAlQEEwEIAD4WIQSvxzk6N9Os0YfMET4prYYujz0B
    PAUCXIaQzwIbIwUJCWhTYQULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRAprYYu
    jz0BPNwtEACjXStrLYG/2z8BPwuRUuOAMw8yPb5FkhPbAstpYlJKnTtWoh4ksND5
    xGn7iNqLCkRZCdDIvJEzDoRDa4hYr5hO0QxjDmZeOnb+WgiAEKDsreoftMImERLN
    blDdaiH2K6cqMxli+oUm4m9vXKJ+p0tJar7ZQdQh+pmxVa+4bxGwnmX4MPtyjuNZ
    VOIKwesQljJJZVJ+YkxMu+3w/faXzBDZMxZtD/jZaMP6Y3RzgKy7H3QB6CTB5jxK
    rf3vpv7AdxXlVJ7gEcdiG+N8QN+Yqo5u077/rRfeYoxYKGqEb9KQag39sE0YV2hi
    LXoQubXX+IE/8VjKVr0Hm+++RDDFzaRSSa/fM2MgkzVy260YiRfKJcCP0ssWUu5T
    gQ9Z4En8/YyPy9ioUyAN0UEAPC387/b2WxWDRs5s+P3mf8yknVmbPJWciql5/nah
    mQd4aytpgSp10woH3TdWAuYnxWcAN803SXhoOI7wfZrSngmiC8mhpu/nermYJaKE
    SFIU2lDj/OXdFfeayONKAArlv7BBHzXeclCpTalztVHzNo+ojhIeZCjrX1NmGa1f
    HVMtwosvM+9n5AG8TmJ1m1Fkmeb3XABPT5Plb9rZEmbQ2bCmZcJM7vS5xhM1iVog
    wlqykVrQ6l0MWTryKsb3rjzzithP68ouURHxfZoHmnQ3VVzfS7IhWrkCDQRchpDP
    ARAAtNT9gGdD2HVCgiWUKo3l02VeGLga2veZGiEL0ipRGuYUhRUxTG3Vyqtn15tE
    PChWatnO+meOYG0eQ1reNKVDmIzEwUzJED0DlUcnfVm3Xz6q1KKyWneomgLDycAn
    T78BcT6L6j4jCbnIysmbAq0AMvTHJ2iVW/ztB36blP7i4qXbhsCEWZ8X1LFjAsxI
    pSlbnHXpqXXZFG+fVQ+Plap+w8vy7CkFTQWwUzgvBYj6TB2+5plUD36W4dWeq/FV
    i5EtpT/2Nr4N7JEa4s0JM8vSf6yofyFrzYJuqbeUzZ0Cnk4XHQvjmh8kPWlp7M5k
    a/6YByt93Ck/xIoMz7T3MTNR+E2nZ0vMojhb7//dRuhTfdvq/UwnLzh32mGOFqnD
    h6nepSsom2o4OXX8yS9WtOOlY3auvYmVFZdG6hXrJYyEcqE7c15uGnvwln1JJJCR
    SLJytPZ30+vs6cj8DPIHamFV0zjDtVTzftR3JRd294IN6gKkDEZ1Vr/lfdWKqRkf
    x9iSjE6DrNa2UJHbqxAYuCntBWRuZCTTccvta8PRihi9V7vbrfAlZUl65ypj6HT/
    rLSHCx8HR93lmVStYio3Jaky/zt/BMjYwbDZff2XQDFC2PGS/QyrXnXdi+FOpxmJ
    cUyEaDZAP4VSbIfELCtqOG4VuTK9jTNBHi68ES8McwNZQG8AEQEAAYkCPAQYAQgA
    JhYhBK/HOTo306zRh8wRPimthi6PPQE8BQJchpDPAhsMBQkJaFNhAAoJECmthi6P
    PQE8znoP/RAeDtRo0fZXpef/76AWBmTEzgZbZiS5j9HzCQMesN1otBn3nTrxbHQ2
    bLC91Ao0q3CrDbBo0mT1fY2YRdp3EPEzzczdQeDAk7O7ZoSv9/nXehogvLieMspH
    VsXBkM8Q0uv63jWcOaB64bVq29GH3uAlFCTspTL9y5I+EoGwM8rckusWrg2ohUVl
    PxZAH2D/sb2Ktc8nOIIBv5aQ+p1zmkSI1Mh2dlgpxX+PlJo+uPryBKbtKXko/xVA
    bK5jonolaEdKW+/6TG/37jG+8YUhJkZzX9T7fnHoNPSpJ+5tchatBtE/LUBcVMyB
    JlmhnkxoXbldBjz7QqUG9x27vGcuvNBT0XZYDi2HsFAYpKTAPSit9OeND7hg5CR3
    wg+0VomY1AASo0KCgN5L5hTnytFa9RJ5gCL3JsZTCzc83IcJ34RdMmo94Ol5ANQB
    +hf2FoK0Mm3u8EKJmQnWcR/cOJ7iUU94IAT+paIShhfOyYGr5BM5MSL07thHmsxI
    ov4SbFMO7XMGzl+wa9SvdKG1dwy0k/jzJWMjQb3e9fP9qKohestUV5Bl40FKpG6d
    TcgDu3Tsd7fVsx2nbljNCNAW+t5S/rQZ7Gz6xueblYIHdV/3nxm/eRPpzyWuYUpd
    S9eXFGAsvnkHVBIOAeKihXrx8DQ1+tU9paPQ5U4xF//RYmtbLqKE
    =pGAy
    -----END PGP PUBLIC KEY BLOCK-----