Політика розкриття вразливих місць
1. Вступ
NetHunt CRM прагне забезпечити безпеку даних, захищаючи інформацію від необґрунтованого розкриття. Ця політика введена для того, щоб дати дослідникам рекомендації щодо безпеки по виконанню дій по виявленню вразливих місць і інформувати про те, як повідомляти про виявлені вразливі місця. Ця політика визначає, які системи і типи дій охоплені цією політикою, як відправляти звіти про вразливі місця і скільки часу ми просимо почекати, перш ніж публічно оголосити про виявлені вразливі місця.
2. Рекомендації
Ми просимо, щоб ви:
- Повідомляли нам якомога швидше виявивши реальну або потенційну проблему безпеки
- Надавали нам розумну кількість часу для вирішення питання, перш ніж ви розкриєте його публічно
- Доклали всіх зусиль, щоб уникнути порушень конфіденційності, погіршення користувацького досвіду, порушення роботи виробничих систем, а також знищення або маніпулювання даними
- Використовували експлойти тільки в тій мірі, в якій це необхідно для підтвердження наявності уразливості. Не використовуйте експлойт для компрометації або отримання даних, не встановлюйте доступ до командного рядка та не зберігайте його, а також не використовуйте експлойт для «повороту» до інших систем
- Після того як встановили, що існує вразливість або зіткнулися з будь-якими конфіденційними даними (включаючи особисті дані, фінансову інформацію, конфіденційну інформацію або комерційні секрети будь-якої сторони), припиніть тестування, негайно повідомте нас і зберігайте дані конфіденційними.
- Не відправляйте велику кількість неякісних звітів
3. Авторизація
Дослідження безпеки, що проводяться відповідно до цієї політики, вважаються дозволеними. Ми будемо працювати з вами, щоб швидко розібратися і вирішити проблему, і NetHunt CRM не рекомендуватиме та не робитиме юридичних дій, пов'язаних з вашим дослідженням.
4. Сфера дії
Ця політика поширюється на наступні системи і служби:
- Веб-сайт nethunt.com
- NetHunt CRM для веб
- Мобільний додаток NetHunt CRM для Android
- Мобільний додаток NetHunt CRM для iOS
- Розширення браузера NetHunt CRM для Chrome
- Розширення браузера NetHunt CRM для Safari
- Компоненти інтеграції NetHunt CRM перераховані тут: https://nethunt.ua/integrations
Будь-яка послуга, що не зазначена вище, наприклад, будь-які підключені сервіси, виключаються з області дії і не дозволяються для тестування. Крім того, уразливості, виявлені в сторонніх рішеннях NetHunt CRM виходять за рамки цієї політики, і про них слід повідомляти безпосередньо постачальнику рішення відповідно до його політики розкриття (якщо така є). Якщо ви не впевнені, чи знаходиться система або кінцева точка в області дії чи ні, зв'яжіться з нами за адресою security@nethunt.com перед початком дослідження.
5. Типи тестування
Наступні типи тестів не дозволені:
- тести відмови в обслуговуванні (DoS або DDoS) в мережі
- фізичне тестування (наприклад, доступ в офіс, відкриті двері, задні двері), соціальна інженерія (наприклад, фішинг, шахрайство) або будь-яке інше нетехнічне тестування вразливих місць
6. Інформування про вразливі місця
Будь ласка, напишіть security@nethunt.com, щоб повідомити про будь-які вразливі місця. Ми підтвердимо отримання вашого звіту про вразливі місця на наступний робочий день і повідомимо вам про наш прогрес. Звіти можуть бути представлені анонімно.
7. Бажана інформація
Щоб обробити і відреагувати на звіт про вразливі місця, ми рекомендуємо включити наступну інформацію:
- опис уразливого місця
- місце знахідки
- потенційний вплив
- кроки, необхідні для відтворення уразливого місця (включаючи сценарії і знімки екрану, якщо це можливо)
Якщо можливо, будь ласка, надайте свій звіт англійською мовою.
8. Наші зобов'язання
Якщо ви вирішите надати свою контактну інформацію, ми зобов'язуємося координуватися настільки відкрито і оперативно наскільки це можливо.
Протягом 3 робочих днів ми підтвердимо, що ваш звіт був отриманий.
У міру наших можливостей ми будемо інформувати вас про підтвердження і усунення вразливих місць.
Ми відкриті до діалогу для обговорення питань.
- NetHunt Inc.
- Київ
- Вул. Гончарна 20
- Київ, Україна 01025
Останнє оновлення 5 травня 2020 р.