Política Coordinada de Divulgación de Vulnerabilidades Intelbras

 

Intelbras, empresa que ofrece soluciones innovadoras de seguridad, redes, comunicaciones y energía, se compromete a garantizar la seguridad de nuestros clientes. Para ello, Intelbras formaliza esta política de recepción de informes de vulnerabilidad de sus productos, con el objetivo de promover una asociación abierta con la comunidad de seguridad, con el objetivo de continuar garantizando la seguridad de todos nuestros clientes.

La Política Coordinada de Divulgación de Vulnerabilidades proporciona directrices para que investigadores de seguridad descubran y reporten responsablemente posibles vulnerabilidades identificadas en productos fabricados por Intelbras.

 

PANORAMA INICIAL

El proceso de Divulgación Coordinada de Vulnerabilidades Intelbras cubre los productos CPE"s (Customer Premises Equipment):

- Cable módem;

- Módem xDSL;

- ONU, ONT;

- Router o módem destinado al acceso inalámbrico fijo ("Fixed Wireless Access", FWA);

- Router o módem destinado al acceso fijo de banda ancha vía satélite; y

- Router o punto de acceso inalámbrico.

lLos investigadores que nos envíen un informe de vulnerabilidad que cumpla los criterios y sea de interés para Intelbras, recibirán crédito por la autoría del descubrimiento de la vulnerabilidad en nuestro sitio web una vez que el envío haya sido aceptado y validado por nuestro equipo de seguridad del producto.

 

NORMAS, CRITERIOS DE ACEPTACIÓN Y PRIORIZACIÓN

La vulnerabilidad reportada por el investigador será objeto de análisis por Intelbras, donde los criterios y la priorización de las presentaciones se definirán de la siguiente manera:

- El informe debe estar bien escrito en portugués o inglés;

- El informe debe contener pruebas de concepto para facilitar la validación y el cribado, así como mencionar el fallo, el impacto y las posibles reparaciones;

- La vulnerabilidad reportada debe estar dentro del alcance de los productos antes mencionados, de lo contrario se les dará baja prioridad en el análisis de Intelbras;

- Los informes que sólo contengan pantallas de error o resultados de herramientas automatizadas tendrán una prioridad baja;

- Deben mencionarse los planes e intenciones de divulgación pública;

- El informe de vulnerabilidad no puede ser hecho por un empleado del Grupo Intelbras, o por cualquier persona que haya trabajado para la empresa en los últimos 12 (doce) meses;

- El investigador debe utilizar con cautela los servicios que puedan afectar a los usuarios, y se compromete a no hacer mal uso de los datos personales o sensibles identificados en los productos;

 

QUÉ PUEDE ESPERAR DE NOSOTROS

Una respuesta oportuna a su correo electrónico (en un plazo de 5 días laborables);

- Tras la revisión, le enviaremos un plazo de corrección previsto y seremos transparentes en los casos en que el producto se enfrente a dificultades para ser corregido;

- Diálogo abierto para discutir los problemas de vulnerabilidad;

- Notificación de cuándo la vulnerabilidad ha sido confirmada por nuestro equipo de seguridad;

- Crédito por el descubrimiento de la vulnerabilidad después de que haya sido validada y corregida.

 

POSTURA JURÍDICA

Intelbras no tiene intención de involucrarse en discusiones legales contra individuos que presenten informes de vulnerabilidad a través de nuestro CSIRT, a condición de que los informes cumplan con los requisitos y criterios establecidos en esta política, y abarquen los ítems abajo:

- Participar en pruebas de sistemas o productos sin perjudicar a Intelbras y/o a sus clientes;

- Participar en pruebas de vulnerabilidad dentro del ámbito de nuestra Política de Divulgación de Vulnerabilidades.

- Recibir permiso y consentimiento del cliente antes de participar en pruebas de vulnerabilidad contra sus productos, sistemas, etc;

- Cumplir con las leyes de Brasil y del país donde el investigador está llevando a cabo la investigación; su geolocalización;

- Abstenerse de divulgar detalles de la vulnerabilidad al público antes de que transcurran 90 días naturales o un plazo acordado mutuamente;

La participación en el proceso de Divulgación Coordinada de Vulnerabilidades de Intelbras no otorga ningún derecho de propiedad intelectual ni derechos de propiedad sobre los productos o servicios de Intelbras a los investigadores participantes ni a ningún otro tercero.

Los derechos de propiedad intelectual son propiedad exclusiva de Intelbras o de sus aliados, por lo que no podrán ser copiados, reproducidos, transmitidos, mostrados, vendidos, licenciados o explotados para ningún otro fin.

 

CÓMO INFORMAR DE UNA VULNERABILIDAD

Para informar de una vulnerabilidad en un producto Intelbras, rellene el formulario de vulnerabilidad en la página del Equipo de Tratamiento y Respuesta a Incidentes de Seguridad de la Información de Intelbras (CSIRT - https://www.intelbras.com/pt-br/CSIRT-Intelbras).

Al informar de una vulnerabilidad, el investigador confirma que entiende y acepta la política y los términos y condiciones.