Informar de un incidente o una vulnerabilidad de seguridad

Como líder de tecnología a nivel mundial, Barco se compromete a ofrecer a sus clientes soluciones, productos y servicios.
Nos esforzamos continuamente por mejorar nuestros procesos de seguridad. Por eso animamos a los investigadores en seguridad a informar de manera responsable de cualquier incidente o vulnerabilidad de seguridad.

Si detecta una vulnerabilidad, nos gustaría saber más sobre ella para poder tomar las medidas necesarias para solucionarla lo más pronto posible. Pedimos su colaboración para ayudarnos a proteger mejor nuestros productos y sistemas.
Animamos a todos los investigadores que sigan las directrices que se describen a continuación (declaración responsable).

Recomendamos que hagan lo siguiente:

  • Envíe un correo electrónico con sus hallazgos a psirt@barco.com (equipo de respuesta ante incidentes de seguridad de productos de Barco);
  • Cifre los datos de sus hallazgos mediante nuestra clave PGP (vea más abajo) para impedir que dicha información crítica llegue a las personas equivocadas;
  • No saque provecho de la vulnerabilidad o el problema que ha detectado, como por ejemplo:
    • No descargue más datos de los necesarios para demostrar la vulnerabilidad ni elimine o modifique los datos de otras personas. Por ejemplo, si una vulnerabilidad proporciona acceso no intencionado a datos: reduzca al mínimo la cantidad de datos a los que accede para demostrar una prueba de concepto de forma eficaz; detenga las pruebas y envíe un informe inmediatamente si encuentra datos de usuarios durante las pruebas, como datos personales que puedan identificarlos, datos personales de carácter médico, datos personales a título general, datos de tarjetas de crédito o información de propiedad.
    • Evite la violación de la privacidad de otras personas, la interrupción de nuestros sistemas, la destrucción de datos y/o alteraciones en la experiencia del usuario
  • No comparta detalles sobre vulnerabilidades con terceros sin contar con el permiso expreso del Equipo de respuesta ante incidentes de seguridad de productos de Barco (divulgación discrecional);
  • No solicite permiso expreso para probar sistemas físicos que no son de su propiedad o aplicaciones de terceros;
  • No utilice ingeniería social, ataques de denegación de servicio (distribuido) o correo no deseado;
  • Proporcione información suficiente (en inglés) para que podamos reproducir el problema y resolverlo lo antes posible;
  • Según el sistema, será suficiente con proporcionar una dirección URL o el nombre del modelo y la versión de firmware del sistema afectado, así como una descripción de la vulnerabilidad. Sin embargo, es posible que sea necesario aportar una explicación más detallada para vulnerabilidades más complejas;
  • No lleve a cabo acciones de extorsión.

Nuestra promesa:

  • Responderemos a su informe en un plazo de tres días hábiles;
  • Proporcionaremos una evaluación del informe y una fecha de resolución estimada en un plazo de diez días hábiles;
  • Si ha seguido las instrucciones anteriores, no emprenderemos acciones legales contra usted con respecto a dicho informe;
  • Trataremos su informe con total confidencialidad y no compartiremos sus datos personales con terceros sin su permiso;
  • Le mantendremos información de los avances en cuanto a la resolución del problema;
  • Valoraremos ofrecer una posible recompensa. La decisión de la posibilidad de ofrecer una recompensa dependerá exclusivamente del criterio de Barco;
  • En la actualidad no recompensamos económicamente la notificación de vulnerabilidades de seguridad, ya que creemos en la divulgación responsable. Sin embargo, en algunos casos excepcionales y según el asunto y el criterio absoluto de Barco, es posible que hagamos caso omiso y ofrezcamos una recompensa económica.
  • Podremos utilizar su nombre como el responsable de la detección de la vulnerabilidad en comunicaciones públicas (por ejemplo, notas de la versión), a menos que manifieste su desacuerdo;
  • Nos esforzamos por resolver todos los problemas con la mayor celeridad posible.

    Historial de versiones:

    22 de marzo de 2019 v1.0: basado en https://www.responsibledisclosure.nl/en/ (licencia no portable de Creative Commons Attribution 3.0) y https://disclose.io/ (licencia internacional de Creative Commons Attribution 4.0)
    05 de abril de 2019 v1.1: clarificación sobre posibles recompensas económicas


    -----INICIAR BLOQUEO DE CLAVE PÚBLICA PGP-----
    Comentario: User-ID: Equipo de respuesta ante incidentes de seguridad de productos de Barco <psirt@barco.com>
    Comentario: Fecha de caducidad: 11/03/2024 12:00
    Comentario: Tipo: 4096 bits RSA
    Comentario: Huella: AFC7393A37D3ACD187CC113E29AD862E8F3D013C


    mQINBFyGkM8BEADGNjDS4JPLHnn/nCjR4Cjr9BHgPnbnBKfNW7IMW+X3bcXVhtLL
    gb7GoMle0Z9C2nU8jlvornCA6NqQ1pixK+xQ1cIBlSz5G7kdspoX7QTYGW6y1xOh
    GC96vPEKX23YuNnRtEb7z849Q+jnKsVdlCZmdAbHBHJ/wfnb2/nMSeWAbUOpSIuq
    uExJN0gEuWXjvgmKP3NHuJbEw7HnJKpbkrtsttTv5D8L4/N2RtLnczplJ3igoAK8
    9e+LPxzIPkT0F9S+EFaN0IiCfssbJbP5hNqgdrfGgiiaj7wXRUx0gYl2MA6pOjjE
    mA9/lN+U2+EtDzrmOMsei/mahY7IaQ5s67bkSA+/xo+l9a65NTDmJJ4O+suITBO2
    OsE5gNOxqp4vVEsaz+K6X1fjsNpQnTZUxHb48KDzvq0CIKVuR38Fv18Guwga/Spe
    I0jKQdWFDtFWEpZBxbw21TeDrtRm2VQQerUi+o6LyLMtmzDKHGWb7sWVqmx5YcLs
    EOO/fdGsOsqp9nk1N65kgyuuc0BqvqMuhr8Ora6DBxdGJQfxRiHcFXXko4FqStnd
    X9BnWPIkkeZQqR9sZgRlI1CVEuy08PoWUxWlvRGQnK1edH3yk1qliTMjwhC850l8
    VWRp5H+ehkdewUyLh6hMxKWAAdRqMkoj+KIESgntXD7bPmlowualKi6ifwARAQAB
    tD9CYXJjbyBQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0g
    PHBzaXJ0QGJhcmNvLmNvbT6JAlQEEwEIAD4WIQSvxzk6N9Os0YfMET4prYYujz0B
    PAUCXIaQzwIbIwUJCWhTYQULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRAprYYu
    jz0BPNwtEACjXStrLYG/2z8BPwuRUuOAMw8yPb5FkhPbAstpYlJKnTtWoh4ksND5
    xGn7iNqLCkRZCdDIvJEzDoRDa4hYr5hO0QxjDmZeOnb+WgiAEKDsreoftMImERLN
    blDdaiH2K6cqMxli+oUm4m9vXKJ+p0tJar7ZQdQh+pmxVa+4bxGwnmX4MPtyjuNZ
    VOIKwesQljJJZVJ+YkxMu+3w/faXzBDZMxZtD/jZaMP6Y3RzgKy7H3QB6CTB5jxK
    rf3vpv7AdxXlVJ7gEcdiG+N8QN+Yqo5u077/rRfeYoxYKGqEb9KQag39sE0YV2hi
    LXoQubXX+IE/8VjKVr0Hm+++RDDFzaRSSa/fM2MgkzVy260YiRfKJcCP0ssWUu5T
    gQ9Z4En8/YyPy9ioUyAN0UEAPC387/b2WxWDRs5s+P3mf8yknVmbPJWciql5/nah
    mQd4aytpgSp10woH3TdWAuYnxWcAN803SXhoOI7wfZrSngmiC8mhpu/nermYJaKE
    SFIU2lDj/OXdFfeayONKAArlv7BBHzXeclCpTalztVHzNo+ojhIeZCjrX1NmGa1f
    HVMtwosvM+9n5AG8TmJ1m1Fkmeb3XABPT5Plb9rZEmbQ2bCmZcJM7vS5xhM1iVog
    wlqykVrQ6l0MWTryKsb3rjzzithP68ouURHxfZoHmnQ3VVzfS7IhWrkCDQRchpDP
    ARAAtNT9gGdD2HVCgiWUKo3l02VeGLga2veZGiEL0ipRGuYUhRUxTG3Vyqtn15tE
    PChWatnO+meOYG0eQ1reNKVDmIzEwUzJED0DlUcnfVm3Xz6q1KKyWneomgLDycAn
    T78BcT6L6j4jCbnIysmbAq0AMvTHJ2iVW/ztB36blP7i4qXbhsCEWZ8X1LFjAsxI
    pSlbnHXpqXXZFG+fVQ+Plap+w8vy7CkFTQWwUzgvBYj6TB2+5plUD36W4dWeq/FV
    i5EtpT/2Nr4N7JEa4s0JM8vSf6yofyFrzYJuqbeUzZ0Cnk4XHQvjmh8kPWlp7M5k
    a/6YByt93Ck/xIoMz7T3MTNR+E2nZ0vMojhb7//dRuhTfdvq/UwnLzh32mGOFqnD
    h6nepSsom2o4OXX8yS9WtOOlY3auvYmVFZdG6hXrJYyEcqE7c15uGnvwln1JJJCR
    SLJytPZ30+vs6cj8DPIHamFV0zjDtVTzftR3JRd294IN6gKkDEZ1Vr/lfdWKqRkf
    x9iSjE6DrNa2UJHbqxAYuCntBWRuZCTTccvta8PRihi9V7vbrfAlZUl65ypj6HT/
    rLSHCx8HR93lmVStYio3Jaky/zt/BMjYwbDZff2XQDFC2PGS/QyrXnXdi+FOpxmJ
    cUyEaDZAP4VSbIfELCtqOG4VuTK9jTNBHi68ES8McwNZQG8AEQEAAYkCPAQYAQgA
    JhYhBK/HOTo306zRh8wRPimthi6PPQE8BQJchpDPAhsMBQkJaFNhAAoJECmthi6P
    PQE8znoP/RAeDtRo0fZXpef/76AWBmTEzgZbZiS5j9HzCQMesN1otBn3nTrxbHQ2
    bLC91Ao0q3CrDbBo0mT1fY2YRdp3EPEzzczdQeDAk7O7ZoSv9/nXehogvLieMspH
    VsXBkM8Q0uv63jWcOaB64bVq29GH3uAlFCTspTL9y5I+EoGwM8rckusWrg2ohUVl
    PxZAH2D/sb2Ktc8nOIIBv5aQ+p1zmkSI1Mh2dlgpxX+PlJo+uPryBKbtKXko/xVA
    bK5jonolaEdKW+/6TG/37jG+8YUhJkZzX9T7fnHoNPSpJ+5tchatBtE/LUBcVMyB
    JlmhnkxoXbldBjz7QqUG9x27vGcuvNBT0XZYDi2HsFAYpKTAPSit9OeND7hg5CR3
    wg+0VomY1AASo0KCgN5L5hTnytFa9RJ5gCL3JsZTCzc83IcJ34RdMmo94Ol5ANQB
    +hf2FoK0Mm3u8EKJmQnWcR/cOJ7iUU94IAT+paIShhfOyYGr5BM5MSL07thHmsxI
    ov4SbFMO7XMGzl+wa9SvdKG1dwy0k/jzJWMjQb3e9fP9qKohestUV5Bl40FKpG6d
    TcgDu3Tsd7fVsx2nbljNCNAW+t5S/rQZ7Gz6xueblYIHdV/3nxm/eRPpzyWuYUpd
    S9eXFGAsvnkHVBIOAeKihXrx8DQ1+tU9paPQ5U4xF//RYmtbLqKE
    =pGAy
    -----FINALIZAR BLOQUEO DE CLAVE PÚBLICA PGP-----