Сообщайте об инцидентах и уязвимостях безопасности

Будучи мировым технологическим лидером, компания Barco считает своим долгом предоставлять клиентам безопасные решения, продукты и услуги.
Мы постоянно работаем над улучшением наших процессов безопасности, поэтому призываем тестировщиков безопасности сразу же сообщать об инцидентах и уязвимостях безопасности.

Если вы обнаружите уязвимость, мы хотели бы узнать о ней, чтобы предпринять шаги для ее скорейшего устранения. Мы просим вас помочь нам лучше защитить наши продукты и системы.
Мы призываем всех тестировщиков следовать таким рекомендациям (ответственное раскрытие информации).

Проделайте следующее:

  • Отправьте свои результаты по электронной почте psirt@barco.com (группа реагирования на инциденты, связанные с безопасностью продуктов Barco).
  • Зашифруйте свое сообщение с помощью нашего ключа PGP (см. ниже), чтобы исключить попадание этой важной информации в чужие руки.
  • Не используйте обнаруженную вами уязвимость или проблему, например:
    • Не загружайте больше данных, чем необходимо, чтобы продемонстрировать уязвимость; не удаляйте и не изменяйте данные других пользователей (например, если уязвимость открывает непреднамеренный доступ к данным: ограничьте объем данных, к которым вы обращаетесь, до минимума, необходимого для эффективной демонстрации доказательства концепции; прекратите тестирование и немедленно отправьте отчет, если во время тестирования обнаружите какие-либо пользовательские данные, такие как лично идентифицируемая информация, личная медицинская информация (PHI), личные данные, данные кредитной карты или другая конфиденциальная информация).
    • Избегайте нарушения конфиденциальности других лиц, нарушения функций наших систем, уничтожения данных и (или) препятствования работе пользователей.
  • Не передавайте никакие сведения об уязвимостях третьим лицам без запроса и получения явного разрешения от группы реагирования на инциденты, связанные с безопасностью продуктов Barco (дискреционное раскрытие).
  • Запросите явное разрешение на тестирование физических систем, владельцем которых вы не являетесь, или приложений третьих лиц.
  • Не используйте социальную инженерию, (распределенный) отказ в обслуживании или спам.
  • Предоставьте на английском языке достаточно информации для воспроизведения проблемы, чтобы мы могли разрешить ее как можно быстрее.
  • В зависимости от системы будет достаточно URL-адреса или названия модели и версии микропрограммы уязвимой системы, а также описания уязвимости, но сложные уязвимости могут потребовать дополнительного объяснения.
  • Не занимайтесь вымогательством.

Что мы обещаем:

  • Мы ответим на ваше сообщение в течение 3 рабочих дней.
  • Мы предоставим оценку отчета и ожидаемую дату решения в течение 10 рабочих дней.
  • Если вы следовали приведенным выше инструкциям, то в связи с отчетом мы не будем предпринимать против вас никаких юридических действий.
  • Мы будем обрабатывать ваш отчет в строгой конфиденциальности и без вашего разрешения не будем передавать ваши личные данные третьим лицам.
  • Мы будем информировать вас о ходе решения проблемы.
  • Мы оценим возможную награду для вас. Решение о возможном вознаграждении — полностью на усмотрение Barco.
  • В настоящее время мы не платим за сообщения об уязвимостях безопасности, а полагаемся на ответственное раскрытие данных. Однако в исключительных случаях, в зависимости от проблемы и полностью по усмотрению Barco мы можем это положение изменить и предложить вам вознаграждение.
  • Если вы не желаете иного, мы можем опубликовать ваше имя как обнаружившего уязвимость в нашей документации (например, в заметках о выпуске).
  • Мы стремимся решать все проблемы как можно быстрее.

    История версий:

    22 марта 2019 г., версия 1.0 — на основе https://www.responsibledisclosure.nl/en/ (лицензия Creative Commons Attribution 3.0 Unported License) и https://disclose.io/ (лицензия Creative Commons Attribution 4.0 International License)
    05 апреля 2019 г., версия 1.1 — разъяснение о возможном вознаграждении


    -----BEGIN PGP PUBLIC KEY BLOCK-----
    Comment: User-ID: Группа реагирования на инциденты, связанные с безопасностью продуктов Barco <psirt@barco.com>
    Comment: Expires: 11/03/2024 12:00
    Comment: Type: 4096-бит RSA
    Comment: Fingerprint: AFC7393A37D3ACD187CC113E29AD862E8F3D013C


    mQINBFyGkM8BEADGNjDS4JPLHnn/nCjR4Cjr9BHgPnbnBKfNW7IMW+X3bcXVhtLL
    gb7GoMle0Z9C2nU8jlvornCA6NqQ1pixK+xQ1cIBlSz5G7kdspoX7QTYGW6y1xOh
    GC96vPEKX23YuNnRtEb7z849Q+jnKsVdlCZmdAbHBHJ/wfnb2/nMSeWAbUOpSIuq
    uExJN0gEuWXjvgmKP3NHuJbEw7HnJKpbkrtsttTv5D8L4/N2RtLnczplJ3igoAK8
    9e+LPxzIPkT0F9S+EFaN0IiCfssbJbP5hNqgdrfGgiiaj7wXRUx0gYl2MA6pOjjE
    mA9/lN+U2+EtDzrmOMsei/mahY7IaQ5s67bkSA+/xo+l9a65NTDmJJ4O+suITBO2
    OsE5gNOxqp4vVEsaz+K6X1fjsNpQnTZUxHb48KDzvq0CIKVuR38Fv18Guwga/Spe
    I0jKQdWFDtFWEpZBxbw21TeDrtRm2VQQerUi+o6LyLMtmzDKHGWb7sWVqmx5YcLs
    EOO/fdGsOsqp9nk1N65kgyuuc0BqvqMuhr8Ora6DBxdGJQfxRiHcFXXko4FqStnd
    X9BnWPIkkeZQqR9sZgRlI1CVEuy08PoWUxWlvRGQnK1edH3yk1qliTMjwhC850l8
    VWRp5H+ehkdewUyLh6hMxKWAAdRqMkoj+KIESgntXD7bPmlowualKi6ifwARAQAB
    tD9CYXJjbyBQcm9kdWN0IFNlY3VyaXR5IEluY2lkZW50IFJlc3BvbnNlIFRlYW0g
    PHBzaXJ0QGJhcmNvLmNvbT6JAlQEEwEIAD4WIQSvxzk6N9Os0YfMET4prYYujz0B
    PAUCXIaQzwIbIwUJCWhTYQULCQgHAgYVCgkICwIEFgIDAQIeAQIXgAAKCRAprYYu
    jz0BPNwtEACjXStrLYG/2z8BPwuRUuOAMw8yPb5FkhPbAstpYlJKnTtWoh4ksND5
    xGn7iNqLCkRZCdDIvJEzDoRDa4hYr5hO0QxjDmZeOnb+WgiAEKDsreoftMImERLN
    blDdaiH2K6cqMxli+oUm4m9vXKJ+p0tJar7ZQdQh+pmxVa+4bxGwnmX4MPtyjuNZ
    VOIKwesQljJJZVJ+YkxMu+3w/faXzBDZMxZtD/jZaMP6Y3RzgKy7H3QB6CTB5jxK
    rf3vpv7AdxXlVJ7gEcdiG+N8QN+Yqo5u077/rRfeYoxYKGqEb9KQag39sE0YV2hi
    LXoQubXX+IE/8VjKVr0Hm+++RDDFzaRSSa/fM2MgkzVy260YiRfKJcCP0ssWUu5T
    gQ9Z4En8/YyPy9ioUyAN0UEAPC387/b2WxWDRs5s+P3mf8yknVmbPJWciql5/nah
    mQd4aytpgSp10woH3TdWAuYnxWcAN803SXhoOI7wfZrSngmiC8mhpu/nermYJaKE
    SFIU2lDj/OXdFfeayONKAArlv7BBHzXeclCpTalztVHzNo+ojhIeZCjrX1NmGa1f
    HVMtwosvM+9n5AG8TmJ1m1Fkmeb3XABPT5Plb9rZEmbQ2bCmZcJM7vS5xhM1iVog
    wlqykVrQ6l0MWTryKsb3rjzzithP68ouURHxfZoHmnQ3VVzfS7IhWrkCDQRchpDP
    ARAAtNT9gGdD2HVCgiWUKo3l02VeGLga2veZGiEL0ipRGuYUhRUxTG3Vyqtn15tE
    PChWatnO+meOYG0eQ1reNKVDmIzEwUzJED0DlUcnfVm3Xz6q1KKyWneomgLDycAn
    T78BcT6L6j4jCbnIysmbAq0AMvTHJ2iVW/ztB36blP7i4qXbhsCEWZ8X1LFjAsxI
    pSlbnHXpqXXZFG+fVQ+Plap+w8vy7CkFTQWwUzgvBYj6TB2+5plUD36W4dWeq/FV
    i5EtpT/2Nr4N7JEa4s0JM8vSf6yofyFrzYJuqbeUzZ0Cnk4XHQvjmh8kPWlp7M5k
    a/6YByt93Ck/xIoMz7T3MTNR+E2nZ0vMojhb7//dRuhTfdvq/UwnLzh32mGOFqnD
    h6nepSsom2o4OXX8yS9WtOOlY3auvYmVFZdG6hXrJYyEcqE7c15uGnvwln1JJJCR
    SLJytPZ30+vs6cj8DPIHamFV0zjDtVTzftR3JRd294IN6gKkDEZ1Vr/lfdWKqRkf
    x9iSjE6DrNa2UJHbqxAYuCntBWRuZCTTccvta8PRihi9V7vbrfAlZUl65ypj6HT/
    rLSHCx8HR93lmVStYio3Jaky/zt/BMjYwbDZff2XQDFC2PGS/QyrXnXdi+FOpxmJ
    cUyEaDZAP4VSbIfELCtqOG4VuTK9jTNBHi68ES8McwNZQG8AEQEAAYkCPAQYAQgA
    JhYhBK/HOTo306zRh8wRPimthi6PPQE8BQJchpDPAhsMBQkJaFNhAAoJECmthi6P
    PQE8znoP/RAeDtRo0fZXpef/76AWBmTEzgZbZiS5j9HzCQMesN1otBn3nTrxbHQ2
    bLC91Ao0q3CrDbBo0mT1fY2YRdp3EPEzzczdQeDAk7O7ZoSv9/nXehogvLieMspH
    VsXBkM8Q0uv63jWcOaB64bVq29GH3uAlFCTspTL9y5I+EoGwM8rckusWrg2ohUVl
    PxZAH2D/sb2Ktc8nOIIBv5aQ+p1zmkSI1Mh2dlgpxX+PlJo+uPryBKbtKXko/xVA
    bK5jonolaEdKW+/6TG/37jG+8YUhJkZzX9T7fnHoNPSpJ+5tchatBtE/LUBcVMyB
    JlmhnkxoXbldBjz7QqUG9x27vGcuvNBT0XZYDi2HsFAYpKTAPSit9OeND7hg5CR3
    wg+0VomY1AASo0KCgN5L5hTnytFa9RJ5gCL3JsZTCzc83IcJ34RdMmo94Ol5ANQB
    +hf2FoK0Mm3u8EKJmQnWcR/cOJ7iUU94IAT+paIShhfOyYGr5BM5MSL07thHmsxI
    ov4SbFMO7XMGzl+wa9SvdKG1dwy0k/jzJWMjQb3e9fP9qKohestUV5Bl40FKpG6d
    TcgDu3Tsd7fVsx2nbljNCNAW+t5S/rQZ7Gz6xueblYIHdV/3nxm/eRPpzyWuYUpd
    S9eXFGAsvnkHVBIOAeKihXrx8DQ1+tU9paPQ5U4xF//RYmtbLqKE
    =pGAy
    -----END PGP PUBLIC KEY BLOCK-----