Политика раскрытия уязвимых мест

1. Введение

NetHunt CRM стремится обеспечить безопасность данных, защищая информацию от необоснованного раскрытия. Эта политика введена для того, чтобы дать исследователям безопасности рекомендации по выполнению действий по обнаружению уязвимых мест и информировать о том, как сообщать об обнаруженных уязвимых местах. Эта политика описывает, какие системы и типы действий охвачены этой политикой, как отправлять отчеты об уязвимых местах и сколько времени мы просим подождать, прежде чем публично объявить об обнаруженных уязвимых местах.

2. Рекомендации

Мы просим, чтобы вы:

• Сообщали нам как можно скорее обнаружив реальную или потенциальную проблему безопасности
• Предоставляли нам разумное количество времени для решения вопроса, прежде чем вы раскроете его публично
• Приложили все усилия, чтобы избежать нарушений конфиденциальности, ухудшения пользовательского опыта, нарушения работы производственных систем, а также уничтожения или манипулирования данными
• Использовали эксплойты только в той степени, в которой это необходимо для подтверждения наличия уязвимости. Не используйте эксплойт для компрометации или получения данных, не устанавливайте доступ к командной строке и / или сохраняйте его, а также не используйте эксплойт для «поворота» к другим системам
• После того как установили, что существует уязвимость или столкнулись с какими-либо конфиденциальными данными (включая личные данные, финансовую информацию, конфиденциальную информацию или коммерческие секреты какой-либо стороны), прекратили тестирование, немедленно сообщили нам и сохраняли данные строго конфиденциальными
• Не отправляли большое количество некачественных отчетов

3. Авторизация

Исследования безопасности, проводимые в соответствии с этой политикой, считаются разрешенными. Мы будем работать с вами, чтобы быстро разобраться и решить проблему, и NetHunt CRM не будет рекомендовать или предпринимать юридические действия, связанные с вашим исследованием.

4. Сфера действия

Эта политика распространяется на следующие системы и службы:

• веб-сайт nethunt.com
• NetHunt CRM для веб
• Мобильное приложение NetHunt CRM для Android
• Мобильное приложение NetHunt CRM для iOS
• Расширение браузера NetHunt CRM для Chrome
• Расширение браузера NetHunt CRM для Safari
• Компоненты интеграции NetHunt CRM перечисленные здесь: https://nethunt.ru/integrations

Любая услуга, не указанная выше, например, любые подключенные службы, исключается из области действия и не разрешается для тестирования. Кроме того, уязвимости, обнаруженные в сторонних решениях NetHunt CRM выходят за рамки этой политики, и о них следует сообщать напрямую поставщику решения в соответствии с его политикой раскрытия (если таковая имеется). Если вы не уверены, находится ли система или конечная точка в области действия или нет, свяжитесь с нами по адресу security@nethunt.com перед началом исследования.

5. Типы тестирования

Следующие типы тестов не разрешены:

• тесты отказа в обслуживании (DoS или DDoS) в сети
• физическое тестирование (например, доступ в офис, открытые двери, задняя дверь), социальная инженерия (например, фишинг, мошенничество) или любое другое нетехническое тестирование уязвимых мест

6. Информирование об уязвимых местах

Пожалуйста, напишите security@nethunt.com, чтобы сообщить о любых уязвимых местах. Мы подтвердим получение вашего отчета об уязвимых местах на следующий рабочий день и сообщим вам о нашем прогрессе. Отчеты могут быть представлены анонимно security@nethunt.com.

7. Желаемая информация

Чтобы обработать и отреагировать на отчет об уязвимых местах, мы рекомендуем включить следующую информацию:

• описание уязвимого места
• место находки
• потенциальное воздействие
• шаги, необходимые для воспроизведения уязвимого места (включая сценарии и снимки экрана, если это возможно)

Если возможно, пожалуйста, предоставьте свой отчет на английском языке.

8. Наши обязательства

Если вы решите предоставить свою контактную информацию, мы обязуемся координироваться настолько открыто и оперативно насколько это возможно.

В течение 3 рабочих дней мы подтвердим, что ваш отчет был получен.

В меру наших возможностей мы будем информировать вас о подтверждении и устранении уязвимых мест.

Мы открыты к диалогу для обсуждения вопросов.

NetHunt Inc.

Киев

Ул. Гончарная 20

Киев, Украина 01025

Последнее обновление: 5 мая 2020 г.