Політика розкриття вразливостей
Якщо ви вважаєте, що знайшли вразливість, пов'язану з продуктом або послугою STRONG, будь ласка, надішліть нам своє повідомлення.
Від STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Austria
Опубліковано квітень 2024
Зміст
- Вступ
- Звітність
- Чого очікувати
- Керівництво
- Юридичні питання
Вступ
Ця політика розкриття вразливостей застосовується до будь-яких вразливостей, про які ви плануєте повідомити STRONG. Ми рекомендуємо повністю прочитати цю політику розкриття вразливостей перед тим, як повідомити про вразливість, і завжди діяти відповідно до неї.
Ми цінуємо тих, хто витрачає час і зусилля на повідомлення про вразливості безпеки відповідно до цієї політики. Однак ми не пропонуємо грошову винагороду за розкриття вразливостей
Звітність
Якщо ви вважаєте, що знайшли вразливість в системі безпеки, будь ласка, надішліть нам своє повідомлення, скориставшись наступною контактною формою та обравши тип "Порушення безпеки": *****(lien formulaire de contact)*****
Чого очікувати
Після того, як ви надішлете свій звіт, ми відповімо на нього протягом 5 робочих днів і намагатимемося відсортувати його протягом 10 робочих днів. Ми також намагатимемося тримати вас в курсі нашого прогресу.
Пріоритетність усунення вразливостей оцінюється з огляду на вплив, серйозність та складність використання вразливості. На сортування та усунення вразливостей може знадобитися певний час, а в деяких випадках виправлення може зайняти до 90 днів і більше. Ви можете запитувати про статус, але не варто робити це частіше, ніж раз на 14 днів. Це дозволить нашим командам зосередитися на усуненні вразливостей.
Ми повідомимо вас, коли вразливість буде усунена, і вам може бути запропоновано підтвердити, що рішення адекватно закриває вразливість.
Після усунення вразливості ми будемо раді отримати запит на оприлюднення вашого звіту. Ми хотіли б уніфікувати інструкції для постраждалих користувачів, тому, будь ласка, продовжуйте координувати з нами публічний реліз.
Керівництво
Ви не повинні:
- порушувати будь-яке чинне законодавство або нормативні акти
- отримувати доступ до непотрібних, надмірних або значних обсягів даних
- змінювати дані в системах або сервісах STRONG
- використовувати високоінтенсивні інструменти інвазивного або руйнівного сканування для пошуку вразливостей
- намагатися або повідомляти про будь-яку форму відмови в обслуговуванні, наприклад, перевантаження сервісу великою кількістю запитів
- порушувати роботу послуг або систем STRONG
- надавати звіти з детальним описом вразливостей, які не можна використати, або звіти, які вказують на те, що сервіси не повністю відповідають "найкращим практикам", наприклад, відсутні заголовки безпеки
- повідомляти про будь-які вразливості або пов'язані з ними деталі інакше, ніж способами, описаними в цій Політиці
- соціальний інженер, "фішинг" або фізична атака на персонал чи інфраструктуру Організації
- вимагати фінансової компенсації за розкриття будь-яких вразливостей
Ти мусиш:
- завжди дотримуватися правил захисту даних і не порушувати конфіденційність користувачів, персоналу, підрядників, послуг або систем компанії STRONG. Наприклад, ви не повинні ділитися, розповсюджувати або не забезпечувати належний захист даних, отриманих із систем або послуг.
- безпечно видаляйте всі дані, отримані під час дослідження, як тільки вони більше не потрібні, або протягом 1 місяця після усунення вразливості, залежно від того, що настане раніше (або відповідно до інших вимог законодавства про захист даних).
Юридичні питання
Ця політика розроблена таким чином, щоб бути сумісною із загальноприйнятою практикою розкриття вразливостей. Вона не дає вам дозволу діяти в будь-який спосіб, що суперечить закону або може призвести до порушення Організацією або організаціями-партнерами будь-яких юридичних зобов'язань.
Однак, якщо третя сторона ініціює судовий позов проти вас, а ви дотримувалися цієї політики, ми можемо вжити заходів, щоб повідомити про те, що ваші дії були здійснені відповідно до цієї політики.
Дякуємо, що допомагаєте підтримувати безпеку STRONG та наших клієнтів!