Политика за разкриване на уязвимости
Ако смятате, че сте открили уязвимост в сигурността, свързана с продукт или услуга на STRONG, моля, изпратете ни своя доклад.
От: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Austria
Публикувано април 2024 г.
Съдържание
- Въведение
- Докладване
- Какво да очаквате
- Насочване
- Правни аспекти
Въведение
Тази политика за разкриване на уязвимости се отнася за всички уязвимости, които смятате да докладвате на STRONG. Препоръчваме ви да прочетете изцяло тази политика за разкриване на уязвимости, преди да докладвате уязвимост, и винаги да действате в съответствие с нея.
Ценим тези, които отделят време и усилия, за да докладват за уязвимости в сигурността съгласно тази политика. Въпреки това не предлагаме парични възнаграждения за разкриване на уязвимости.
Докладване
Ако смятате, че сте открили уязвимост в сигурността, моля, изпратете ни своя доклад, като използвате следния формуляр за контакт и изберете естеството "Нарушение на сигурността" : *****(lien formulaire de contact)*****
Какво да очаквате
След като подадете доклада си, ние ще отговорим на него в рамките на 5 работни дни и ще се стремим да разгледаме доклада ви в рамките на 10 работни дни. Също така ще се стремим да ви информираме за напредъка си.
Приоритетът за отстраняване се оценява въз основа на въздействието, сериозността и сложността на експлойта. Докладите за уязвимости могат да отнемат известно време за сортиране или отстраняване, като в някои случаи отстраняването може да отнеме до 90 дни или повече. Можете да отправяте запитвания за състоянието, но не трябва да правите това по-често от веднъж на всеки 14 дни. Това позволява на нашите екипи да се съсредоточат върху отстраняването на проблемите.
Ще ви уведомим, когато докладваната уязвимост бъде отстранена, и може да ви поканим да потвърдите, че решението покрива уязвимостта по подходящ начин.
След като уязвимостта ви бъде отстранена, приемаме искания за разкриване на вашия доклад. Бихме искали да уеднаквим указанията за засегнатите потребители, затова ви молим да продължите да координирате публичното оповестяване с нас.
Насочване
НЕ трябва да:
- нарушават приложимите закони или разпоредби.
- достъп до ненужни, прекомерни или значителни количества данни.
- да променяте данни в системите или услугите на STRONG.
- използване на инвазивни или разрушителни инструменти за сканиране с висока интензивност за откриване на уязвимости.
- да се опитвате да отказвате услуга или да съобщавате за такава форма, например да претоварвате услуга с голям брой заявки.
- да нарушава услугите или системите на STRONG.
- подаване на доклади, в които са описани уязвимости, които не могат да бъдат експлоатирани, или доклади, в които се посочва, че услугите не отговарят напълно на "най-добрите практики", например липсват заглавия за сигурност.
- съобщаване на уязвимости или свързани с тях подробности, освен по начините, описани в настоящата политика.
- социално инженерство, "фишинг" или физическа атака срещу персонала или инфраструктурата на Организацията.
- да поискате финансова компенсация, за да разкриете уязвимости.
Трябва да:
- винаги да спазва правилата за защита на данните и да не нарушава неприкосновеността на личния живот на потребителите, персонала, изпълнителите, услугите или системите на STRONG. Не трябва например да споделяте, разпространявате или да не осигурявате правилно защита на данните, извлечени от системите или услугите.
- да изтриете по сигурен начин всички данни, извлечени по време на проучването, веднага щом престанат да бъдат необходими или в рамките на 1 месец след отстраняване на уязвимостта, което от двете събития настъпи по-рано (или както се изисква по друг начин от закона за защита на данните).
Правни аспекти
Настоящата политика е разработена така, че да е съвместима с общите добри практики за разкриване на уязвимост. Тя не ви дава разрешение да действате по начин, който е несъвместим със закона или който може да доведе до нарушаване на законови задължения на Организацията или на партньорски организации.
Въпреки това, ако трета страна започне правни действия срещу вас и вие сте спазили тази политика, можем да предприемем стъпки, за да стане ясно, че действията ви са били извършени в съответствие с тази политика.
Благодарим ви, че помагате за безопасността на STRONG и нашите клиенти!