Política de divulgación responsable de Dolby

{{ videoLinkButton.text }} {{ videoLinkButton.text }}
Introducción

Dolby se toma muy en serio las vulnerabilidades y los problemas de seguridad. Animamos a la comunidad a informar de posibles vulnerabilidades e incidentes de forma privada y responsable.

Los siguientes párrafos describen cómo Dolby maneja la divulgación de posibles vulnerabilidades y qué esperar cuando se hace una divulgación.

Nuestro objetivo es abordar los problemas legítimos notificados con la mayor rapidez y eficacia posible, pero la gestión de los problemas revelados puede no ser tan sencilla y directa como cabría esperar. Mientras que algunas cuestiones pueden analizarse y resolverse rápidamente, otras pueden ser más complejas o tener un impacto más amplio que requiera un trabajo más cuidadoso entre bastidores.

 

Proceso de divulgación responsable

A lo largo del proceso de notificación, nos esforzaremos por mantener la confidencialidad de toda la información y trabajaremos con la entidad reveladora para asegurarnos de que entendemos el asunto y lo tratamos adecuadamente.

 

Pedimos que :

 

  • Usted actúe con honestidad e identifique los problemas de forma justificada.
  • No intente comprometer las cuentas o los datos.
  • No intente interrumpir o degradar nuestros servicios ni afectar a la estabilidad de la plataforma (ataques de denegación de servicio, etc.).
  • Nos comunique los problemas en privado, y nos dará un tiempo razonable para responder.
  • No divulgue ninguna información públicamente hasta que hayamos podido comprender su impacto y reducir cualquier riesgo potencial.

 

Cuando se nos comunican problemas, nuestro objetivo es acusar recibo del informe lo antes posible e investigar el problema con prontitud.

Informes

Por favor, proporcione la siguiente información, si es posible :

  • Los pasos exactos de la reproducción, ¡sólo en formato de texto!
  • URL y parámetros que demuestran la vulnerabilidad (si la hay).
  • Todos los detalles relevantes de la configuración de su sistema.
  • Su dirección IP y su cuenta Dolby, para que coincidan con nuestros registros.
  • Por favor, no envíe archivos adjuntos ejecutables.

Si necesita compartir información sensible, póngase en contacto con nosotros y coordinaremos una transferencia encriptada.

 

Exclusiones

A continuación se ofrece una lista no exhaustiva de ejemplos que no se consideran cuestiones válidas:

  • Listado de usuarios o cuentas.
  • Configuraciones / políticas de mejores prácticas (es decir, DMARC, registros SPF, etc.)
  • Un POC que depende de la ejecución de un ataque man-in-the-middle (MITM).
  • Falsificación del correo electrónico.
  • Clickjacking o técnicas similares.

Tenga en cuenta que estos son sólo algunos ejemplos comunes. Dolby se reserva el derecho de determinar lo que se considera una presentación válida y la eventual prima.

 

¡Gracias!

Gracias por revelar responsablemente las vulnerabilidades y preocupaciones. Respetamos a la comunidad de investigadores de seguridad y apreciamos los esfuerzos por divulgar responsablemente.