Πολιτική αποκάλυψης ευπαθειών
Εάν πιστεύετε ότι έχετε βρει μια ευπάθεια ασφαλείας που σχετίζεται με ένα προϊόν ή μια υπηρεσία της STRONG, υποβάλετε την αναφορά σας σε εμάς.
Από: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Αυστρία
Δημοσιεύθηκε Απρίλιος 2024
Περιεχόμενα
- Εισαγωγή
- Αναφορά
- Τι να περιμένετε
- Καθοδήγηση
- Νομικότητες
Εισαγωγή
Αυτή η πολιτική αποκάλυψης ευπαθειών ισχύει για όλες τις ευπάθειες που σκέφτεστε να αναφέρετε στην STRONG. Συνιστούμε να διαβάσετε πλήρως την παρούσα πολιτική αποκάλυψης ευπαθειών πριν αναφέρετε μια ευπάθεια και να ενεργείτε πάντα σύμφωνα με αυτήν.
Εκτιμούμε εκείνους που αφιερώνουν χρόνο και προσπάθεια για να αναφέρουν τα τρωτά σημεία ασφαλείας σύμφωνα με την παρούσα πολιτική. Ωστόσο, δεν προσφέρουμε χρηματικές αμοιβές για την αποκάλυψη ευπαθειών
Αναφορά
Εάν πιστεύετε ότι έχετε βρει μια ευπάθεια ασφαλείας, παρακαλούμε να μας υποβάλετε την αναφορά σας χρησιμοποιώντας την ακόλουθη φόρμα επικοινωνίας και επιλέγοντας τη φύση "Παραβίαση ασφαλείας": *****(lien formulaire de contact)*****
Τι να περιμένετε
Αφού υποβάλετε την αναφορά σας, θα απαντήσουμε στην αναφορά σας εντός 5 εργάσιμων ημερών και θα προσπαθήσουμε να εξετάσουμε την αναφορά σας εντός 10 εργάσιμων ημερών. Θα επιδιώξουμε επίσης να σας ενημερώνουμε για την πρόοδό μας.
Η προτεραιότητα αποκατάστασης αξιολογείται με βάση τον αντίκτυπο, τη σοβαρότητα και την πολυπλοκότητα του exploit. Οι αναφορές ευπαθειών ενδέχεται να χρειαστούν κάποιο χρόνο για την ταξινόμηση ή την αντιμετώπισή τους, ενώ σε ορισμένες περιπτώσεις η αποκατάσταση μπορεί να διαρκέσει έως και 90 ημέρες ή και περισσότερο. Είστε ευπρόσδεκτοι να ενημερωθείτε για την κατάσταση, αλλά θα πρέπει να αποφεύγετε να το κάνετε περισσότερο από μία φορά κάθε 14 ημέρες. Αυτό επιτρέπει στις ομάδες μας να επικεντρωθούν στην αποκατάσταση.
Θα σας ειδοποιήσουμε όταν αποκατασταθεί η αναφερθείσα ευπάθεια και μπορεί να σας καλέσουμε να επιβεβαιώσετε ότι η λύση καλύπτει επαρκώς την ευπάθεια.
Μόλις επιλυθεί η ευπάθειά σας, καλωσορίζουμε τα αιτήματα δημοσιοποίησης της αναφοράς σας. Θα θέλαμε να ενοποιήσουμε την καθοδήγηση προς τους επηρεαζόμενους χρήστες, γι' αυτό παρακαλούμε να συνεχίσετε να συντονίζετε τη δημόσια δημοσίευση μαζί μας.
Καθοδήγηση
ΔΕΝ πρέπει:
- παραβιάζει κάθε ισχύοντα νόμο ή κανονισμό
- πρόσβαση σε περιττές, υπερβολικές ή σημαντικές ποσότητες δεδομένων
- να τροποποιεί δεδομένα στα συστήματα ή τις υπηρεσίες της STRONG
- χρησιμοποιούν εργαλεία επεμβατικής ή καταστροφικής σάρωσης υψηλής έντασης για την ανεύρεση ευπαθειών
- να επιχειρήσετε ή να αναφέρετε οποιαδήποτε μορφή άρνησης παροχής υπηρεσιών, π.χ. υπερφόρτωση μιας υπηρεσίας με μεγάλο όγκο αιτημάτων
- διαταράσσει τις υπηρεσίες ή τα συστήματα της STRONG
- να υποβάλλουν εκθέσεις με λεπτομερή στοιχεία για μη εκμεταλλεύσιμα τρωτά σημεία ή εκθέσεις που υποδεικνύουν ότι οι υπηρεσίες δεν ευθυγραμμίζονται πλήρως με τις "βέλτιστες πρακτικές", π.χ. ελλείπουσες επικεφαλίδες ασφαλείας.
- να κοινοποιείτε οποιαδήποτε ευπάθεια ή σχετικές λεπτομέρειες εκτός από τα μέσα που περιγράφονται στην παρούσα Πολιτική
- κοινωνική μηχανική, "phish" ή φυσική επίθεση στο προσωπικό ή την υποδομή του Οργανισμού
- απαιτούν οικονομική αποζημίωση προκειμένου να αποκαλύψουν τυχόν ευπάθειες
Πρέπει:
- συμμορφώνεται πάντα με τους κανόνες προστασίας δεδομένων και δεν πρέπει να παραβιάζει την ιδιωτική ζωή των χρηστών, του προσωπικού, των εργολάβων, των υπηρεσιών ή των συστημάτων της STRONG. Δεν πρέπει, για παράδειγμα, να μοιράζεστε, να αναδιανέμετε ή να μην ασφαλίζετε σωστά τα δεδομένα που ανακτώνται από τα συστήματα ή τις υπηρεσίες.
- να διαγράψετε με ασφάλεια όλα τα δεδομένα που ανακτήσατε κατά τη διάρκεια της έρευνάς σας μόλις δεν είναι πλέον απαραίτητα ή εντός 1 μηνός από την επίλυση της ευπάθειας, όποιο από τα δύο συμβεί πρώτο (ή όπως άλλως απαιτείται από τη νομοθεσία περί προστασίας δεδομένων).
Νομικότητες
Η παρούσα πολιτική έχει σχεδιαστεί ώστε να είναι συμβατή με την κοινή ορθή πρακτική αποκάλυψης ευπαθειών. Δεν σας δίνει την άδεια να ενεργείτε με τρόπο που δεν συνάδει με το νόμο ή που θα μπορούσε να οδηγήσει τον Οργανισμό ή τους συνεργαζόμενους οργανισμούς σε παραβίαση νομικών υποχρεώσεων.
Ωστόσο, εάν κινηθεί νομική διαδικασία από τρίτο μέρος εναντίον σας και έχετε συμμορφωθεί με την παρούσα πολιτική, μπορούμε να λάβουμε μέτρα για να γνωστοποιήσουμε ότι οι ενέργειές σας έγιναν σύμφωνα με την παρούσα πολιτική.
Σας ευχαριστούμε που βοηθάτε να κρατήσουμε την STRONG και τους πελάτες μας ασφαλείς!