BlackBerry Política coordinada de divulgación de vulnerabilidades
BlackBerry está comprometida con la mejora continua de la seguridad de sus productos y se esfuerza por identificar y eliminar proactivamente las posibles vulnerabilidades antes de que nuestros productos salgan al mercado.
Sin embargo, a pesar de nuestros esfuerzos, con poca frecuencia se producen vulnerabilidades en nuestros productos y sitios web. Reconocemos y trabajamos en colaboración con quienes las descubren y notifican a BlackBerry para que podamos remediar esas vulnerabilidades.
Para colaborar eficazmente con estos colaboradores, hemos documentado esta BlackBerry Política coordinada de divulgación de vulnerabilidadespara promover la colaboración y la notificación de vulnerabilidades por parte de terceros.
Los puntos clave de esta política son:
- El proceso de notificación de vulnerabilidades incluye los productos compatibles actualmente.
- BlackBerry trabajará de buena fe con los buscadores que comprueben y envíen vulnerabilidades de acuerdo con unas directrices estándar.
- BlackBerry's Product Security Incident Response Team (BBPSIRT) trabajará con los descubridores para determinar una vía de divulgación coordinada de la vulnerabilidad.
- En caso de incumplimiento de la Política Coordinada de Divulgación de Vulnerabilidades deBlackBerry y de todas las leyes aplicables, BlackBerry se reserva el derecho a interponer todos los recursos pertinentes.
Alcance
El proceso de notificación de vulnerabilidades incluye los productos actualmente soportados por BlackBerry, nuestras filiales y nuestro sitio web.
Para determinar si un producto BlackBerry recibe asistencia, consulte el ciclo de vida de asistencia del softwareBlackBerry .
¿Quién debe leer esta política?
Esta política debe ser leída por todos los buscadores que descubran, prueben y envíen vulnerabilidades en productos compatibles con BlackBerry o en sitios web de BlackBerry .
Qué esperamos de los buscadores
Trabajaremos de buena fe con los buscadores que comprueben y envíen vulnerabilidades de acuerdo con las siguientes directrices.
BlackBerry apoya plenamente las pruebas de seguridad que:
- Se lleva a cabo de forma que se proteja la seguridad y la privacidad de todos nuestros clientes y socios.
- Cumple con la integridad relativa a todas las leyes y reglamentos aplicables en torno a las actividades de pruebas de seguridad.
- Respeta y se adhiere a los acuerdos existentes con BlackBerry y a las disposiciones contractuales relativas a los derechos de propiedad intelectual de BlackBerry.
- Realiza investigaciones únicamente dentro del ámbito definido en esta política
- Proporciona a BlackBerry todos los detalles del problema de seguridad en el momento de su divulgación.
- Permite a BlackBerry la oportunidad de tomar medidas correctivas antes de divulgar públicamente la vulnerabilidad o revelarla a terceros.
Cómo enviar una vulnerabilidad
Si sospecha que ha descubierto una vulnerabilidad de seguridad en un producto o sitio web de BlackBerry , comuníquenoslo poniéndose en contacto con el PSIRT de BlackBerry (BBPSIRT) en secure@blackberry.com.
Cuando envíe una vulnerabilidad, facilite todos los detalles.
Esto incluye:
- El nombre, la versión y los detalles de configuración del producto afectado,
- Los nombres de todos los descubridores que participaron en el descubrimiento de la vulnerabilidad,
- Una descripción de la vulnerabilidad y del entorno en el que se descubrió,
- Pasos detallados para reproducir la vulnerabilidad, y
- Capturas de pantalla o vídeo para demostrar la prueba de concepto (PdC)
Qué puede esperar el BBPSIRT de los buscadores
El BBPSIRT lo hará:
- En un plazo de 3 días laborables en Norteamérica, acusar recibo del informe del buscador, abrir un caso en nuestro sistema de gestión de casos y asignar un gestor de casos para que realice el seguimiento de la investigación.
- Investigar exhaustivamente el primer caso de notificación de una vulnerabilidad única en un producto o sitio web de BlackBerry actualmente admitido.
- Validar la vulnerabilidad notificada. Es posible que en esta fase nos pongamos en contacto con el descubridor para que nos facilite información adicional.
- Comunicarse con el descubridor, a través del Gestor de Casos, para confirmar la existencia de la vulnerabilidad y, si procede, el plan asociado para remediarla.
- Una vez subsanada la vulnerabilidad, comunicar los detalles al descubridor, y
- Reconozca públicamente al descubridor en nuestro sitio web. El BBPSIRT acreditará al descubridor o descubridores que figuren en el informe inicial o al descubridor o descubridores con los que el BBPSIRT trabaje directamente para resolver la vulnerabilidad.
Publicación coordinada de divulgación y vulnerabilidad BBPSIRT
El BBPSIRT emite avisos de seguridad para los productos compatibles de BlackBerry y trabajará con los descubridores para determinar la mejor vía para la divulgación coordinada de la vulnerabilidad, que puede incluir la emisión de un aviso de seguridad para los productos compatibles de BlackBerry . Los avisos de seguridad se hacen públicos y se publican en nuestro sitio web.
Los avisos se publican una vez que las versiones compatibles de los productos han lanzado actualizaciones de software con la vulnerabilidad subsanada. En el caso de determinados productos, como QNX® RTOS, se enviará un aviso privado a nuestros clientes antes de que se comparta públicamente y se publique en nuestro sitio web. Esto se hace para garantizar que los clientes que utilizan esos productos tengan la oportunidad de incorporar nuestras correcciones de vulnerabilidades en su software y publicar sus propias versiones de mantenimiento del software.
Aviso legal
BlackBerry se toma muy en serio su obligación de garantizar la seguridad de sus productos y reconoce y agradece el enorme valor que la comunidad de investigadores de seguridad aporta a estos esfuerzos, por lo que siempre tratará de actuar de buena fe con todo aquel que notifique vulnerabilidades de acuerdo con las directrices establecidas por BlackBerry y la Política Coordinada de Divulgación de Vulnerabilidades deBlackBerry .
Al realizar actividades de investigación de seguridad en relación con los productos y servicios de BlackBerry , incluido el envío de un informe de vulnerabilidad de seguridad de BlackBerry , debe cumplir la política coordinada de divulgación de vulnerabilidades deBlackBerry y todas las leyes aplicables. Si se le requiere y/o tras una investigación por parte de BlackBerry, hemos determinado que usted ha incumplido esta política o cualquier ley aplicable, BlackBerry se reserva el derecho de perseguir todos los recursos aplicables, incluyendo aquellos bajo la ley civil y/o penal aplicable dependiendo de la jurisdicción.
BlackBerry further se reserva el derecho de actualizar esta política de vez en cuando sin previo aviso para garantizar que siga siendo pertinente y esté al día con los cambios tecnológicos, las leyes aplicables y las prácticas empresariales de BlackBerry .
Esta versión de la Política coordinada de divulgación de vulnerabilidades deBlackBerry sustituye a todas las versiones anteriores, y todos los aspectos de esta política están sujetos a cambios sin previo aviso, así como a excepciones caso por caso. BlackBerry hará todo lo posible por coordinar todos los niveles de compromiso, pero no puede garantizar un nivel concreto de respuesta.