BlackBerry Política de divulgação coordenada de vulnerabilidades

BlackBerry está comprometida com o aprimoramento contínuo da segurança de seus produtos e se esforça para identificar e remover proativamente possíveis vulnerabilidades antes que seus produtos sejam lançados no mercado.

No entanto, apesar de nossos melhores esforços, as vulnerabilidades ocorrerão com pouca frequência em nossos produtos e sites. Reconhecemos e trabalhamos de forma colaborativa com os descobridores que as descobrem e as relatam para BlackBerry para que possamos corrigir essas vulnerabilidades.

Para estabelecer uma parceria eficaz com esses colaboradores, documentamos esta Política de Divulgação de Vulnerabilidades CoordenadaBlackBerry para promover a colaboração e a divulgação de vulnerabilidades por terceiros.

As principais conclusões dessa política incluem:

O processo de relatório de vulnerabilidade inclui os produtos atualmente suportados.
BlackBerry trabalhará de boa fé com os localizadores que testarem e enviarem vulnerabilidades de acordo com algumas diretrizes padrão.
BlackBerryA Equipe de Resposta a Incidentes de Segurança de Produtos da BBPSIRT (BBPSIRT) trabalhará com os descobridores para determinar um caminho para a divulgação coordenada da vulnerabilidade.
Em casos de não cumprimento da Política de divulgação coordenada de vulnerabilidades doBlackBerry e de todas as leis aplicáveis, o BlackBerry se reserva o direito de buscar todas as soluções aplicáveis.

Escopo

O processo de relatório de vulnerabilidade inclui produtos atualmente suportados pelo BlackBerry, nossas subsidiárias e nosso site.

Para determinar se um produto BlackBerry é suportado, consulte o ciclo de vida de suporte ao softwareBlackBerry .

Quem deve ler esta política?

Esta política deve ser lida por todos os localizadores que descobrem, testam e enviam vulnerabilidades em produtos com suporte da BlackBerry ou em sites da BlackBerry .

O que esperamos dos localizadores

Trabalharemos de boa fé com os localizadores que testarem e enviarem vulnerabilidades de acordo com as seguintes diretrizes.

BlackBerry oferece suporte total a testes de segurança que:

É conduzido de forma a proteger a segurança e a privacidade de todos os nossos clientes e parceiros
Cumpre com a integridade em relação a todas as leis e regulamentos aplicáveis às atividades de teste de segurança
Respeita e adere aos acordos existentes com BlackBerry e às disposições contratuais que tratam dos direitos de propriedade intelectual de BlackBerry
Realiza pesquisas somente dentro do escopo definido nesta política
Fornece ao site BlackBerry todos os detalhes do problema de segurança no momento da divulgação
Permite que o BlackBerry tenha a oportunidade de tomar medidas corretivas antes de divulgar publicamente a vulnerabilidade ou divulgá-la a terceiros

Como enviar uma vulnerabilidade

Se você suspeitar que descobriu uma vulnerabilidade de segurança em um produto ou site da BlackBerry , informe-nos entrando em contato com o BlackBerry PSIRT (BBPSIRT) em secure@blackberry.com.

Ao enviar uma vulnerabilidade, forneça todos os detalhes.

Isso inclui:

O nome, a versão e os detalhes de configuração do produto afetado,
Os nomes de todos os localizadores que estiveram envolvidos na descoberta da vulnerabilidade,
Uma descrição da vulnerabilidade e do ambiente em que ela foi descoberta,
Etapas detalhadas para reproduzir a vulnerabilidade, e
Capturas de tela ou vídeo para demonstrar a prova de conceito (PoC)

O que os pesquisadores podem esperar do BBPSIRT

O BBPSIRT irá:

Em até 3 dias úteis na América do Norte, confirme o relatório do localizador, abra um caso em nosso sistema de gerenciamento de casos e designe um gerente de caso para acompanhar a investigação
Investigar completamente a primeira instância de um relatório de uma vulnerabilidade exclusiva em um site ou produto BlackBerry atualmente suportado
Validar a vulnerabilidade relatada. Nesta etapa, podemos entrar em contato com o localizador para fornecer informações adicionais
Comunique-se com o localizador, por meio do gerente de caso, para confirmar a existência da vulnerabilidade e, se aplicável, o plano associado para correção
Após a correção da vulnerabilidade, comunique os detalhes ao descobridor e
Reconhecer publicamente o localizador em nosso site. O BBPSIRT dará crédito ao(s) localizador(es) listado(s) no relatório inicial ou ao(s) localizador(es) com quem o BBPSIRT trabalha diretamente para resolver a vulnerabilidade.

Divulgação coordenada BBPSIRT e publicação de vulnerabilidades

O BBPSIRT emite alertas de segurança para os produtos BlackBerry suportados e trabalhará com os localizadores para determinar o melhor caminho para a divulgação coordenada da vulnerabilidade, o que pode incluir a emissão de um alerta de segurança para os produtos BlackBerry suportados. Os alertas de segurança são divulgados publicamente e publicados em nosso site.

Os avisos são publicados assim que as versões suportadas dos produtos lançam atualizações de software com a vulnerabilidade corrigida. Para determinados produtos, como o QNX® RTOS, um aviso privado será fornecido aos nossos clientes antes que o aviso seja compartilhado publicamente e publicado em nosso site. Isso é para garantir que os clientes que utilizam esses produtos tenham a oportunidade de incorporar nossas correções de vulnerabilidade em seus softwares e emitir suas próprias versões de manutenção de software.

Isenção de responsabilidade legal

BlackBerry leva a sério suas obrigações de garantir que seus produtos sejam seguros e reconhece e acolhe o enorme valor que a comunidade de pesquisa de segurança traz para esses esforços, e sempre procurará agir de boa-fé com qualquer pessoa que relate vulnerabilidades de acordo com as diretrizes estabelecidas pela BlackBerry e com a Política de Divulgação Coordenada de Vulnerabilidades daBlackBerry .

Ao realizar atividades de pesquisa de segurança em relação aos produtos e serviços BlackBerry , inclusive ao enviar um Relatório de Vulnerabilidade de Segurança BlackBerry , você deve cumprir a Política de Divulgação de Vulnerabilidade CoordenadaBlackBerry e todas as leis aplicáveis. Se necessário e/ou após investigação pelo BlackBerry, determinarmos que você não cumpriu esta política ou qualquer lei aplicável, o BlackBerry se reserva o direito de buscar todas as soluções aplicáveis, incluindo aquelas sob a lei civil e/ou criminal aplicável, dependendo da jurisdição.

BlackBerry A Further se reserva o direito de atualizar esta política periodicamente, sem aviso prévio, para garantir que ela permaneça relevante e atualizada com as mudanças tecnológicas, as leis aplicáveis e as práticas comerciais do BlackBerry .

Esta versão da Política de divulgação coordenada de vulnerabilidades do siteBlackBerry substitui todas as versões anteriores, e todos os aspectos desta política estão sujeitos a alterações sem aviso prévio, bem como a exceções caso a caso. O site BlackBerry fará todos os esforços para coordenar todos os níveis de envolvimento, mas não pode garantir um nível específico de resposta.

Produtos

Segurança cibernética

CylanceMDR

CylanceENDPOINT

CylanceEDGE

Local de trabalho digital seguro

BlackBerry UEM

BlackBerry Work

BlackBerry Plataforma Dinâmica

BlackBerry Workspaces

BBMe

Gerenciamento de eventos críticos

BlackBerry AtHoc

Comunicações seguras

SecuSUITE

Software incorporado seguro

QNX Software Development Platform 8.0

QNX Acelerar

QNX Hipervisor

Certicom PKI e gerenciamento de chaves

Automotivo

BlackBerry IVY

QNX Som

QNX ADAS Plataforma

Rastreamento de transporte

BlackBerry Radar

BlackBerry Rastreamento de ativos por radar

BlackBerry Sensores R2 e A2

Serviços

Avaliar

Equipe vermelha / Simulação de ataque

Teste de penetração

Serviços estratégicos

Defender

Detecção e resposta gerenciadas

Forense digital

Resposta a incidentes

Implementar

Cylance Soluções

Local de trabalho digital seguro

QNX Serviços profissionais

Relatar um incidente

Relatar incidente

Suporte de contato

Soluções

Segurança de endpoint

IA generativa

SOC gerenciado

Defesa cibernética com tecnologia de IA

Alternativa VPN

Defesa de rede

Proteção contra ransomware

Tecnologia operacional segura

Local de trabalho digital seguro

Trabalho seguro em qualquer lugar

Produtividade móvel

Colaboração de conteúdo

BYOD

Navegação segura

Comunicações seguras

Voz, mensagens e conferências seguras

Comunicações de crise

Pesquisa de ameaças

Centro de Ameaças

Relatórios de ameaças

Pesquisa

Ferramentas e IOCs

Sistemas incorporados

Veículos autônomos conectados

Robótica e automação

Dispositivos médicos

Veículos comerciais

Aeroespacial e Defesa

Trilho

Rastreamento de transporte

Rastreamento de chassis e de plataforma

Rastreamento de contêineres intermodais

Rastreamento do trailer

Rastreamento e monitoramento de vagões

Rastreamento de equipamentos