Relate uma vulnerabilidade/incidente de segurança

Como líder global de tecnologia, a Barco está comprometida em fornecer soluções, produtos e serviços seguros.
Estamos constantemente trabalhando para melhorar nossos processos de segurança, portanto, incentivamos os pesquisadores de segurança a relatar com responsabilidade as vulnerabilidades de segurança e os incidentes de segurança.

Se você descobrir uma vulnerabilidade, gostaríamos de saber sobre ela para que possamos tomar as medidas necessárias para solucioná-la o mais rápido possível. Gostaríamos de pedir que você nos ajude a proteger melhor nossos produtos e nossos sistemas.
Incentivamos todos os pesquisadores a seguir as seguintes diretrizes (divulgação responsável).

Faça o seguinte:

  • Envie suas descobertas por e-mail para psirt@barco.com (equipe de resposta a incidentes de segurança de produtos da Barco);
  • Criptografe suas descobertas usando nossa chave PGP (veja abaixo) para evitar que essas informações críticas caiam nas mãos erradas;
  • Não tire proveito da vulnerabilidade ou problema que você descobriu; por exemplo:
    • Não faça download de mais dados do que o necessário para demonstrar a vulnerabilidade ou exclua ou modifique os dados de outras pessoas (por exemplo, se uma vulnerabilidade fornecer acesso não intencional a dados: limite a quantidade de dados que você acessa ao mínimo necessário para demonstrar de forma eficaz uma prova de conceito; e interrompa o teste e envie um relatório imediatamente se você encontrar qualquer dado de usuário durante o teste, como Informações Pessoais Identificáveis (PII), Informações Pessoais de Saúde (PHI), dados pessoais, dados de cartão de crédito ou informações proprietárias)
    • Evite violar a privacidade de outras pessoas, perturbar nossos sistemas, destruir dados e/ou prejudicar a experiência de usuário
  • Não compartilhe detalhes de vulnerabilidade com terceiros sem solicitar e receber a permissão explícita da Equipe de Resposta a Incidentes de Segurança de Produtos da Barco (Divulgação Discricionária);
  • Solicite uma permissão explícita para testar sistemas físicos que você não possui ou aplicativos de terceiros;
  • Não use engenharia social, negação de serviço (distribuído) ou spam;
  • Forneça informações suficientes para reproduzir o problema, em inglês, para que possamos solucioná-lo o mais rápido possível;
  • Dependendo do sistema, uma URL ou o nome do modelo e a versão do firmware do sistema afetado e uma descrição da vulnerabilidade serão suficientes, mas vulnerabilidades complexas podem exigir mais explicações; e
  • Não se envolva em atividades de extorsão.

O que prometemos:

  • Responderemos ao seu relatório dentro de 3 dias úteis;
  • Forneceremos uma avaliação do relatório e uma data de resolução esperada dentro de 10 dias úteis;
  • Se você seguiu as instruções acima, não tomaremos nenhuma ação legal contra você em relação ao relatório;
  • Processaremos o seu relatório com estrita confidencialidade e não transmitiremos seus dados pessoais a terceiros sem a sua permissão;
  • Iremos mantê-lo informado sobre o progresso na solução do problema;
  • Avaliaremos uma possível recompensa. A decisão de uma possível recompensa fica totalmente a critério da Barco;
  • Atualmente, não estamos pagando pelo relatório de vulnerabilidades de segurança, acreditamos na divulgação responsável. Contudo, em casos excepcionais e dependendo do problema e totalmente a critério da Barco, poderemos ignorar isso e oferecer uma recompensa.
  • Podemos usar seu nome como descobridor da vulnerabilidade em uma comunicação pública (por exemplo, notas de versão), a menos que você não queira;
  • Nós nos esforçamos para solucionar todos os problemas o mais rápido possível.

    Histórico de versões:

    22 de março de 2019 v1.0 - com base em https://www.responsibledisclosure.nl/en/ (Licença Atribuição 3.0 Unported da Creative Commons) e https://disclose.io/ (Licença Atribuição 4.0 Internacional da Creative Commons)
    05 de abril de 2019 v1.1 - Esclarecimento sobre possíveis recompensas


    -----BEGIN PGP PUBLIC KEY BLOCK-----
    Comentário: User-ID: Equipe de Resposta a Incidentes de Segurança de Produtos da Barco <psirt@barco.com>
    Comentário: Expira: 11/03/2024 12:00
    Comentário: Tipo: 4096-bit RSA
    Comentário: Impressão digital: AFC7393A37D3ACD187CC113E29AD862E8F3D013C


    mQINBFyGkM8BEADGNjDS4JPLHnn/nCjR4Cjr9BHgPnbnBKfNW7IMW+X3bcXVhtLL
    gb7GoMle0Z9C2nU8jlvornCA6NqQ1pixK+xQ1cIBlSz5G7kdspoX7QTYGW6y1xOh
    GC96vPEKX23YuNnRtEb7z849Q+jnKsVdlCZmdAbHBHJ/wfnb2/nMSeWAbUOpSIuq
    uExJN0gEuWXjvgmKP3NHuJbEw7HnJKpbkrtsttTv5D8L4/N2RtLnczplJ3igoAK8
    9e+LPxzIPkT0F9S+EFaN0IiCfssbJbP5hNqgdrfGgiiaj7wXRUx0gYl2MA6pOjjE
    mA9/lN+U2+EtDzrmOMsei/mahY7IaQ5s67bkSA+/xo+l9a65NTDmJJ4O+suITBO2
    OsE5gNOxqp4vVEsaz+K6X1fjsNpQnTZUxHb48KDzvq0CIKVuR38Fv18Guwga/Spe
    I0jKQdWFDtFWEpZBxbw21TeDrtRm2VQQerUi+o6LyLMtmzDKHGWb7sWVqmx5YcLs
    EOO/fdGsOsqp9nk1N65kgyuuc0BqvqMuhr8Ora6DBxdGJQfxRiHcFXXko4FqStnd
    X9BnWPIkkeZQqR9sZgRlI1CVEuy08PoWUxWlvRGQnK1edH3yk1qliTMjwhC850l8
    VWRp5H+ehkdewUyLh6hMxKWAAdRqMkoj+KIESgntXD7bPmlowualKi6ifwARAQAB
    tD9CYXJjbyBQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0g
    PHBzaXJ0QGJhcmNvLmNvbT6JAlQEEwEIAD4WIQSvxzk6N9Os0YfMET4prYYujz0B
    PAUCXIaQzwIbIwUJCWhTYQULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRAprYYu
    jz0BPNwtEACjXStrLYG/2z8BPwuRUuOAMw8yPb5FkhPbAstpYlJKnTtWoh4ksND5
    xGn7iNqLCkRZCdDIvJEzDoRDa4hYr5hO0QxjDmZeOnb+WgiAEKDsreoftMImERLN
    blDdaiH2K6cqMxli+oUm4m9vXKJ+p0tJar7ZQdQh+pmxVa+4bxGwnmX4MPtyjuNZ
    VOIKwesQljJJZVJ+YkxMu+3w/faXzBDZMxZtD/jZaMP6Y3RzgKy7H3QB6CTB5jxK
    rf3vpv7AdxXlVJ7gEcdiG+N8QN+Yqo5u077/rRfeYoxYKGqEb9KQag39sE0YV2hi
    LXoQubXX+IE/8VjKVr0Hm+++RDDFzaRSSa/fM2MgkzVy260YiRfKJcCP0ssWUu5T
    gQ9Z4En8/YyPy9ioUyAN0UEAPC387/b2WxWDRs5s+P3mf8yknVmbPJWciql5/nah
    mQd4aytpgSp10woH3TdWAuYnxWcAN803SXhoOI7wfZrSngmiC8mhpu/nermYJaKE
    SFIU2lDj/OXdFfeayONKAArlv7BBHzXeclCpTalztVHzNo+ojhIeZCjrX1NmGa1f
    HVMtwosvM+9n5AG8TmJ1m1Fkmeb3XABPT5Plb9rZEmbQ2bCmZcJM7vS5xhM1iVog
    wlqykVrQ6l0MWTryKsb3rjzzithP68ouURHxfZoHmnQ3VVzfS7IhWrkCDQRchpDP
    ARAAtNT9gGdD2HVCgiWUKo3l02VeGLga2veZGiEL0ipRGuYUhRUxTG3Vyqtn15tE
    PChWatnO+meOYG0eQ1reNKVDmIzEwUzJED0DlUcnfVm3Xz6q1KKyWneomgLDycAn
    T78BcT6L6j4jCbnIysmbAq0AMvTHJ2iVW/ztB36blP7i4qXbhsCEWZ8X1LFjAsxI
    pSlbnHXpqXXZFG+fVQ+Plap+w8vy7CkFTQWwUzgvBYj6TB2+5plUD36W4dWeq/FV
    i5EtpT/2Nr4N7JEa4s0JM8vSf6yofyFrzYJuqbeUzZ0Cnk4XHQvjmh8kPWlp7M5k
    a/6YByt93Ck/xIoMz7T3MTNR+E2nZ0vMojhb7//dRuhTfdvq/UwnLzh32mGOFqnD
    h6nepSsom2o4OXX8yS9WtOOlY3auvYmVFZdG6hXrJYyEcqE7c15uGnvwln1JJJCR
    SLJytPZ30+vs6cj8DPIHamFV0zjDtVTzftR3JRd294IN6gKkDEZ1Vr/lfdWKqRkf
    x9iSjE6DrNa2UJHbqxAYuCntBWRuZCTTccvta8PRihi9V7vbrfAlZUl65ypj6HT/
    rLSHCx8HR93lmVStYio3Jaky/zt/BMjYwbDZff2XQDFC2PGS/QyrXnXdi+FOpxmJ
    cUyEaDZAP4VSbIfELCtqOG4VuTK9jTNBHi68ES8McwNZQG8AEQEAAYkCPAQYAQgA
    JhYhBK/HOTo306zRh8wRPimthi6PPQE8BQJchpDPAhsMBQkJaFNhAAoJECmthi6P
    PQE8znoP/RAeDtRo0fZXpef/76AWBmTEzgZbZiS5j9HzCQMesN1otBn3nTrxbHQ2
    bLC91Ao0q3CrDbBo0mT1fY2YRdp3EPEzzczdQeDAk7O7ZoSv9/nXehogvLieMspH
    VsXBkM8Q0uv63jWcOaB64bVq29GH3uAlFCTspTL9y5I+EoGwM8rckusWrg2ohUVl
    PxZAH2D/sb2Ktc8nOIIBv5aQ+p1zmkSI1Mh2dlgpxX+PlJo+uPryBKbtKXko/xVA
    bK5jonolaEdKW+/6TG/37jG+8YUhJkZzX9T7fnHoNPSpJ+5tchatBtE/LUBcVMyB
    JlmhnkxoXbldBjz7QqUG9x27vGcuvNBT0XZYDi2HsFAYpKTAPSit9OeND7hg5CR3
    wg+0VomY1AASo0KCgN5L5hTnytFa9RJ5gCL3JsZTCzc83IcJ34RdMmo94Ol5ANQB
    +hf2FoK0Mm3u8EKJmQnWcR/cOJ7iUU94IAT+paIShhfOyYGr5BM5MSL07thHmsxI
    ov4SbFMO7XMGzl+wa9SvdKG1dwy0k/jzJWMjQb3e9fP9qKohestUV5Bl40FKpG6d
    TcgDu3Tsd7fVsx2nbljNCNAW+t5S/rQZ7Gz6xueblYIHdV/3nxm/eRPpzyWuYUpd
    S9eXFGAsvnkHVBIOAeKihXrx8DQ1+tU9paPQ5U4xF//RYmtbLqKE
    =pGAy
    -----END PGP PUBLIC KEY BLOCK-----