BlackBerry Política coordinada de divulgación de vulnerabilidades

BlackBerry está comprometida con la mejora continua de la seguridad de sus productos y se esfuerza por identificar y eliminar proactivamente las posibles vulnerabilidades antes de que nuestros productos salgan al mercado.

Sin embargo, a pesar de nuestros esfuerzos, con poca frecuencia se producen vulnerabilidades en nuestros productos y sitios web. Reconocemos y trabajamos en colaboración con quienes las descubren y notifican a BlackBerry para que podamos remediar esas vulnerabilidades.

Para colaborar eficazmente con estos colaboradores, hemos documentado esta BlackBerry Política coordinada de divulgación de vulnerabilidadespara promover la colaboración y la notificación de vulnerabilidades por parte de terceros.

Los puntos clave de esta política son:

El proceso de notificación de vulnerabilidades incluye los productos compatibles actualmente.
BlackBerry trabajará de buena fe con los buscadores que comprueben y envíen vulnerabilidades de acuerdo con unas directrices estándar.
BlackBerry's Product Security Incident Response Team (BBPSIRT) trabajará con los descubridores para determinar una vía de divulgación coordinada de la vulnerabilidad.
En caso de incumplimiento de la Política Coordinada de Divulgación de Vulnerabilidades deBlackBerry y de todas las leyes aplicables, BlackBerry se reserva el derecho a interponer todos los recursos pertinentes.

Alcance

El proceso de notificación de vulnerabilidades incluye los productos actualmente soportados por BlackBerry, nuestras filiales y nuestro sitio web.

Para determinar si un producto BlackBerry recibe asistencia, consulte el ciclo de vida de asistencia del softwareBlackBerry .

¿Quién debe leer esta política?

Esta política debe ser leída por todos los buscadores que descubran, prueben y envíen vulnerabilidades en productos compatibles con BlackBerry o en sitios web de BlackBerry .

Qué esperamos de los buscadores

Trabajaremos de buena fe con los buscadores que comprueben y envíen vulnerabilidades de acuerdo con las siguientes directrices.

BlackBerry apoya plenamente las pruebas de seguridad que:

Se lleva a cabo de forma que se proteja la seguridad y la privacidad de todos nuestros clientes y socios.
Cumple con la integridad relativa a todas las leyes y reglamentos aplicables en torno a las actividades de pruebas de seguridad.
Respeta y se adhiere a los acuerdos existentes con BlackBerry y a las disposiciones contractuales relativas a los derechos de propiedad intelectual de BlackBerry.
Realiza investigaciones únicamente dentro del ámbito definido en esta política
Proporciona a BlackBerry todos los detalles del problema de seguridad en el momento de su divulgación.
Permite a BlackBerry la oportunidad de tomar medidas correctivas antes de divulgar públicamente la vulnerabilidad o revelarla a terceros.

Cómo enviar una vulnerabilidad

Si sospecha que ha descubierto una vulnerabilidad de seguridad en un producto o sitio web de BlackBerry , comuníquenoslo poniéndose en contacto con el PSIRT de BlackBerry (BBPSIRT) en secure@blackberry.com.

Cuando envíe una vulnerabilidad, facilite todos los detalles.

Esto incluye:

El nombre, la versión y los detalles de configuración del producto afectado,
Los nombres de todos los descubridores que participaron en el descubrimiento de la vulnerabilidad,
Una descripción de la vulnerabilidad y del entorno en el que se descubrió,
Pasos detallados para reproducir la vulnerabilidad, y
Capturas de pantalla o vídeo para demostrar la prueba de concepto (PdC)

Qué puede esperar el BBPSIRT de los buscadores

El BBPSIRT lo hará:

En un plazo de 3 días laborables en Norteamérica, acusar recibo del informe del buscador, abrir un caso en nuestro sistema de gestión de casos y asignar un gestor de casos para que realice el seguimiento de la investigación.
Investigar exhaustivamente el primer caso de notificación de una vulnerabilidad única en un producto o sitio web de BlackBerry actualmente admitido.
Validar la vulnerabilidad notificada. Es posible que en esta fase nos pongamos en contacto con el descubridor para que nos facilite información adicional.
Comunicarse con el descubridor, a través del Gestor de Casos, para confirmar la existencia de la vulnerabilidad y, si procede, el plan asociado para remediarla.
Una vez subsanada la vulnerabilidad, comunicar los detalles al descubridor, y
Reconozca públicamente al descubridor en nuestro sitio web. El BBPSIRT acreditará al descubridor o descubridores que figuren en el informe inicial o al descubridor o descubridores con los que el BBPSIRT trabaje directamente para resolver la vulnerabilidad.

Publicación coordinada de divulgación y vulnerabilidad BBPSIRT

El BBPSIRT emite avisos de seguridad para los productos compatibles de BlackBerry y trabajará con los descubridores para determinar la mejor vía para la divulgación coordinada de la vulnerabilidad, que puede incluir la emisión de un aviso de seguridad para los productos compatibles de BlackBerry . Los avisos de seguridad se hacen públicos y se publican en nuestro sitio web.

Los avisos se publican una vez que las versiones compatibles de los productos han lanzado actualizaciones de software con la vulnerabilidad subsanada. En el caso de determinados productos, como QNX® RTOS, se enviará un aviso privado a nuestros clientes antes de que se comparta públicamente y se publique en nuestro sitio web. Esto se hace para garantizar que los clientes que utilizan esos productos tengan la oportunidad de incorporar nuestras correcciones de vulnerabilidades en su software y publicar sus propias versiones de mantenimiento del software.

Aviso legal

BlackBerry se toma muy en serio su obligación de garantizar la seguridad de sus productos y reconoce y agradece el enorme valor que la comunidad de investigadores de seguridad aporta a estos esfuerzos, por lo que siempre tratará de actuar de buena fe con todo aquel que notifique vulnerabilidades de acuerdo con las directrices establecidas por BlackBerry y la Política Coordinada de Divulgación de Vulnerabilidades deBlackBerry .

Al realizar actividades de investigación de seguridad en relación con los productos y servicios de BlackBerry , incluido el envío de un informe de vulnerabilidad de seguridad de BlackBerry , debe cumplir la política coordinada de divulgación de vulnerabilidades deBlackBerry y todas las leyes aplicables. Si se le requiere y/o tras una investigación por parte de BlackBerry, hemos determinado que usted ha incumplido esta política o cualquier ley aplicable, BlackBerry se reserva el derecho de perseguir todos los recursos aplicables, incluyendo aquellos bajo la ley civil y/o penal aplicable dependiendo de la jurisdicción.

BlackBerry further se reserva el derecho de actualizar esta política de vez en cuando sin previo aviso para garantizar que siga siendo pertinente y esté al día con los cambios tecnológicos, las leyes aplicables y las prácticas empresariales de BlackBerry .

Esta versión de la Política coordinada de divulgación de vulnerabilidades deBlackBerry sustituye a todas las versiones anteriores, y todos los aspectos de esta política están sujetos a cambios sin previo aviso, así como a excepciones caso por caso. BlackBerry hará todo lo posible por coordinar todos los niveles de compromiso, pero no puede garantizar un nivel concreto de respuesta.

Productos

Ciberseguridad

CylanceMDR

CylanceENDPOINT

CylanceEDGE

Lugar de trabajo digital seguro

BlackBerry UEM

BlackBerry Work

BlackBerry Plataforma dinámica

BlackBerry Workspaces

BBMe

Critical Event Management

BlackBerry AtHoc

Comunicaciones seguras

SecuSUITE

Software integrado seguro

QNX Software Development Platform 8.0

QNX Acelerar

QNX Hipervisor

Certicom PKI y gestión de claves

Automoción

IVY

QNX Sonido

QNX ADAS Plataforma

Seguimiento del transporte

BlackBerry Radar

BlackBerry Seguimiento de activos por radar

BlackBerry Sensores R2 y A2

Servicios

Evalúe

Equipo Rojo / Simulación de ataque

Pruebas de penetración

Servicios estratégicos

Defienda

Detección y respuesta gestionadas

Análisis forense digital

Respuesta a incidentes

Implementar

Cylance Soluciones

Lugar de trabajo digital seguro

QNX Servicios profesionales

Informar de un incidente

Informar de un incidente

Contacto

Soluciones

Seguridad de puntos finales

IA Generativa

SOC gestionado

Ciberdefensa basada en inteligencia artificial

Alternativa VPN

Defensa de la red

Protección contra ransomware

Tecnología operativa segura

Lugar de trabajo digital seguro

Trabajo seguro en cualquier lugar

Productividad móvil

Contenido Colaboración

BYOD

Navegación segura

Comunicaciones seguras

Voz, mensajería y conferencias seguras

Comunicación de crisis

Investigación de amenazas

Centro de amenazas

Informes sobre amenazas

Investigación

Herramientas y COI

Sistemas integrados

Vehículos autónomos conectados

Robótica y automatización

Productos sanitarios

Vehículos comerciales

Aeroespacial y defensa

Ferrocarril

Seguimiento del transporte

Seguimiento de chasis y plataformas

Seguimiento de contenedores intermodales

Seguimiento de remolques

Seguimiento y control de vagones

Seguimiento de equipos