Ответственное раскрытие информации об уязвимостях
Группа предприятий Eleving Group стремится обеспечить информационную безопасность и защиту наших информационных ресурсов от киберугроз. Мы поощряем ответственное раскрытие информации об уязвимостях системы безопасности, как указано в настоящей политике, и призываем всех специалистов по информационной безопасности сообщать об уязвимостях безопасности в наших услугах и ресурсах.
Область применения
Настоящая политика применяется к следующим доменам:
Исключение:
- autodiscover.primero.lt
- eleving.com/.env, eleving.com/.aws/config и eleving.com/.aws/credential (Мы реализовали использование файлов-приманок, здесь нет достоверной информации.)
Мы ждем сообщения о таких уязвимостях безопасности как межсайтовый скриптинг (Cross-Site Scripting, XSS), внедрение SQL-кода, ошибки шифрования, удаленное выполнение кода, ошибки аутентификации и т. д.
Недопустимы следующие типы тестов:
· сетевые проверки типа «отказ в обслуживании» (DoS, DDoS),
· лобовая атака компрометации учетных записей (brute force credential compromise),
· социальная инженерия,
· тестирование физического доступа,
· любое другое нетехническое тестирование уязвимостей.
Юридическая информация
Мы принимаем сообщения об уязвимостях безопасности в вышеуказанном объеме и обязуемся не возбуждать судебные иски против лиц, которые:
· соблюдают требований данной Политики во время оценки безопасности;
· участвуют в тестировании продуктов и услуг без ущерба для наших систем и данных;
· обеспечивают конфиденциальность любой информации об уязвимостях в системе безопасности до истечения взаимно согласованного срока.
Мы оставляем за собой право принимать или отклонять любые сообщения о любых уязвимостях и действовать в соответствии с нашими внутренними правилами и процедурами.
Как сообщить об уязвимости?
Если Вы считаете, что обнаружили уязвимость в наших информационных ресурсах, свяжитесь с нами по адресу security@eleving.com и укажите следующую информацию:
· подробное описание уязвимости;
· подробную информацию о возможностях использования уязвимости;
· если применимо, добавьте ссылку, снимки экрана или любую другую информацию, которая поможет нам идентифицировать обнаруженную Вами уязвимость.
Что мы ожидаем от Вас?
Обратите внимание, что при проведении оценки уязвимостей крайне важно соблюдать следующие правила:
· Вы обязуетесь не использовать обнаруженную уязвимость для доступа или попыток доступа к информации, которая Вам не принадлежит (только для доказательства существования уязвимости);
· Вы обязуетесь не использовать обнаруженную уязвимость для удаления или изменения информации;
· Вы обязуетесь своевременно уведомить нас об обнаружении уязвимости и позволяете нам исправить обнаруженную уязвимость, прежде чем сообщить о ней общественности.
Что Вы можете ожидать от нас?
Мы не предлагаем финансовую компенсацию, но когда уязвимость, о которой Вы сообщили, будет устранена, мы можем предоставить помощь и информацию, чтобы исследователь мог опубликовать свою работу и сделать свой вклад общедоступным (при достижении взаимного согласия).