Ir para o conteúdo principal

Divulgação coordenada de vulnerabilidade

Na bioMérieux, levamos a segurança dos nossos produtos e serviços muito a sério. Acreditamos no poder da colaboração para garantir a segurança e a integridade dos nossos sistemas. 

Acreditamos que trabalhando em conjunto com a comunidade de segurança, podemos manter um alto nível de proteção contra ameaças em potencial. Estamos empenhados em solucionar as vulnerabilidades reportadas o mais rapidamente possível e com total transparência, em linha com o Programa de divulgação de vulnerabilidades da bioMérieux (doravante designado simplesmente como “Programa de divulgação”).
 

Objetivo

O objetivo desta página da Web é descrever as políticas da bioMérieux que regem o Programa de divulgação (doravante designada como “Política”), incluindo como compartilhar relatórios de vulnerabilidade com a bioMérieux de modo seguro e apresentar as expectativas de comunicação da empresa.

 

Escopo

Esta política se aplica a todos os produtos e serviços comerciais da bioMérieux, e aborda pessoas não afiliadas à empresa, como pesquisadores de cibersegurança, que estão realizando, ou buscam realizar, testes de segurança de boa fé ou pesquisar sobre tais produtos ou serviços comerciais.

A bioMérieux reserva a si o direito de, a qualquer momento, segundo seu exclusivo critério, limitar, expandir ou descontinuar o Programa de divulgação, bem como interromper a participação de qualquer pessoa neste programa.

 

Nossas expectativas

Para cumprir esta política, você concorda com o seguinte:

  • Notificar-nos assim que possível depois de descobrir um problema de segurança real ou potencial.
  • Empenhar todos os esforços para evitar a interrupção dos sistemas da bioMérieux, bem como a destruição e/ou manipulação de dados da empresa.
  • Explorar uma vulnerabilidade somente na medida necessária para confirmar a existência dela, e jamais para comprometer ou exfiltrar dados, estabelecer acessos e/ou persistências via linha de comando ou buscar comprometer ou manipular outros sistemas.
  • Aguardar um tempo razoável para resolução do problema antes de divulgá-lo publicamente.
  • Não comprometer intencionalmente a propriedade intelectual ou outros interesses comerciais ou financeiros da bioMérieux ou de terceiros.

Como enviar um relatório de vulnerabilidade

Para enviar um relatório de vulnerabilidade, verifique se tem todo o conteúdo necessário e se é protegido usando os padrões de criptografia PGP e a seguinte chave pública PGP.

Os relatórios criptografados devem, então, ser anexados a um e-mail enviado clicando AQUI, descrevendo o contexto do relatório, os produtos em que ele foi identificado e as informações de contato.

Observe que não oferecemos nenhum tipo de compensação financeira pelo envio de relatórios de vulnerabilidade.

 

Critérios de preferências, priorização e aceitação

Usaremos os seguintes critérios para priorizar e fazer a triagem dos envios.

O que esperamos de você:

  • Relatórios bem escritos em inglês terão maior chance de resolução.
  • Dados de contato para permitir atualizações de status.
  • Relatórios que incluem código de prova de conceito nos possibilitam fazer uma triagem melhor.
  • Relatórios que incluem apenas dumps de falha ou outra saída de ferramenta automatizada podem receber menor prioridade.
  • Inclua como você encontrou o bug, o impacto causado e eventuais correções possíveis.
  • Informe seus planos ou intenções com relação à divulgação pública.

O que você pode esperar de nós:

  • Uma resposta oportuna ao seu e-mail.
  • Um diálogo aberto para discutir problemas.
  • Notificação quando a análise de vulnerabilidade tiver sido concluída.
  • Plano de divulgação.
  • Créditos após a divulgação da vulnerabilidade.

Quando necessário, a bioMérieux pode solicitar a ajuda de um terceiro neutro na resolução da consulta.

 

Reconhecimento

Ao enviar uma solicitação, você está ciente de que a bioMérieux poderá, segundo seu exclusivo critério, usar qualquer dado enviado nos termos desta política. Tal envio não lhe concede qualquer direito sobre a propriedade intelectual da bioMérieux, nem impõe à empresa qualquer obrigação a seu favor.

 

Autorização

Se você se esforçar de boa fé para cumprir esta política, a bioMérieux não recomendará nem moverá ação judicial contra você em relação à sua pesquisa ou teste. Da mesma forma, não recomendaremos nem moveremos ação judicial contra você, contanto que:

  • Realize testes de sistemas/pesquisas sem prejudicar a bioMérieux ou seus clientes.
  • Realize testes de vulnerabilidade no escopo desta política.
  • Realize testes de produtos sem afetar os clientes ou obtenha permissão/consentimento dos clientes antes de realizar testes de vulnerabilidade nos dispositivos/softwares deles.
  • Cumpra todas as leis vigentes na sua jurisdição e nas jurisdições em que a bioMérieux opera.
  • Evite divulgar dados de vulnerabilidade ao público geral antes do fim do prazo mutuamente acordado.