Relate uma vulnerabilidade/incidente de segurança

Como líder global de tecnologia, a Barco está comprometida em fornecer soluções, produtos e serviços seguros.
Estamos constantemente trabalhando para melhorar nossos processos de segurança, portanto, incentivamos os pesquisadores de segurança a relatar com responsabilidade as vulnerabilidades de segurança e os incidentes de segurança.

Se você descobrir uma vulnerabilidade, gostaríamos de saber sobre ela para que possamos tomar as medidas necessárias para solucioná-la o mais rápido possível. Gostaríamos de pedir que você nos ajude a proteger melhor nossos produtos e nossos sistemas.
Incentivamos todos os pesquisadores a seguir as seguintes diretrizes (divulgação responsável).

Faça o seguinte:

Envie suas descobertas por e-mail para psirt@barco.com (equipe de resposta a incidentes de segurança de produtos da Barco);
Criptografe suas descobertas usando nossa chave PGP (veja abaixo) para evitar que essas informações críticas caiam nas mãos erradas;
Não tire proveito da vulnerabilidade ou problema que você descobriu; por exemplo:
- Não faça download de mais dados do que o necessário para demonstrar a vulnerabilidade ou exclua ou modifique os dados de outras pessoas (por exemplo, se uma vulnerabilidade fornecer acesso não intencional a dados: limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar de forma eficaz uma prova de conceito; e interrompa o teste e envie um relatório imediatamente se você encontrar qualquer dado de usuário durante o teste, como Informações Pessoais Identificáveis (PII), Informações Pessoais de Saúde (PHI), dados pessoais, dados de cartão de crédito ou informações proprietárias)
- Evite violar a privacidade de outras pessoas, perturbar nossos sistemas, destruir dados e/ou prejudicar a experiência de usuário
Não compartilhe detalhes de vulnerabilidade com terceiros sem solicitar e receber a permissão explícita da Equipe de Resposta a Incidentes de Segurança de Produtos da Barco (Divulgação Discricionária);
Solicite uma permissão explícita para testar sistemas físicos que você não possui ou aplicativos de terceiros;
Não use engenharia social, negação de serviço (distribuído) ou spam;
Forneça informações suficientes para reproduzir o problema, em inglês, para que possamos solucioná-lo o mais rápido possível;
Dependendo do sistema, uma URL ou o nome do modelo e a versão do firmware do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir mais explicações; e
Não se envolva em atividades de extorsão.

O que prometemos:

Responderemos ao seu relatório dentro de 3 dias úteis;
Forneceremos uma avaliação do relatório e uma data de resolução esperada dentro de 10 dias úteis;
Se você seguiu as instruções acima, não tomaremos nenhuma ação legal contra você em relação ao relatório;
Processaremos o seu relatório com estrita confidencialidade e não transmitiremos seus dados pessoais a terceiros sem a sua permissão;
Iremos mantê-lo informado sobre o progresso na solução do problema;
Avaliaremos uma possível recompensa. A decisão de uma possível recompensa fica totalmente a critério da Barco;
Atualmente, não estamos pagando pelo relatório de vulnerabilidades de segurança, acreditamos na divulgação responsável. Contudo, em casos excepcionais e dependendo do problema e totalmente a critério da Barco, poderemos ignorar isso e oferecer uma recompensa.
Podemos usar seu nome como descobridor da vulnerabilidade em uma comunicação pública (por exemplo, notas de versão), a menos que você não queira;
Nós nos esforçamos para solucionar todos os problemas o mais rápido possível.

Histórico de versões:

22 de março de 2019 v1.0 - com base em https://www.responsibledisclosure.nl/en/ (Licença Atribuição 3.0 Unported da Creative Commons) e https://disclose.io/ (Licença Atribuição 4.0 Internacional da Creative Commons)
05 de abril de 2019 v1.1 - Esclarecimento sobre possíveis recompensas

Links relacionados