Обзор
В Edovia безопасность является приоритетом, и мы приветствуем ответственные сообщения об уязвимостях от исследователей безопасности и общественности. Если вы считаете, что обнаружили проблему безопасности, конфиденциальности или раскрытые данные в наших продуктах или услугах, мы призываем вас поделиться этим с нами. В этом документе описывается, как сообщать о проблемах безопасности, наши обязательства и ожидания.
Область действия
Эта политика применяется к:
- программному обеспечению и продуктам Edovia
- службам и инфраструктуре, управляемым Edovia
- документации, связанной с нашими продуктами
Исключения
Следующие типы отчетов выходят за рамки этой политики:
- проблемы физической безопасности (например, доступ в офис, несанкционированный вход)
- атаки социальной инженерии (например, фишинг, попытки выдачи себя за другое лицо)
- проблемы в системах, явно не перечисленные в разделе «Область действия»
- косметические проблемы (например, ошибки UI/UX без влияния на безопасность)
- типографские ошибки
- уязвимости типа «отказ в обслуживании» (DoS/DDoS)
- сторонние службы, не управляемые Edovia
Если вы обнаружите проблему в системе, не входящей в область действия, мы рекомендуем вам сообщить о ней соответствующему поставщику или организации.
Чего вы можете ожидать от нас
Когда вы добросовестно сообщаете о действительной проблеме безопасности, мы:
- Примем ваш отчет и начнем оценку как можно скорее
- Сообщим вам о статусе вашего отчета, пока он находится на рассмотрении
- Работаем над устранением уязвимостей безопасности в зависимости от их серьезности и последствий
- Обеспечим защиту Safe Harbor, когда раскрытие информации следует рекомендациям этой политики
Рекомендации по ответственному раскрытию информации
Чтобы обеспечить ответственный и эффективный процесс раскрытия информации, мы просим вас:
- Соблюдать эту политику и любые применимые условия при расследовании проблем безопасности
- Своевременно сообщать о результатах и избегать действий, которые могут нарушить работу служб или пользователей
- Ограничивать тестирование тем, что необходимо для демонстрации проблемы
- Использовать официальные каналы для сообщения о проблемах безопасности
- Дать нам разумное количество времени для решения проблемы до публичного раскрытия
- Тестировать только системы в рамках области действия и избегать любых явно исключенных целей
- Использовать тестовые учетные записи, которыми вы владеете или на использование которых у вас есть явное разрешение
- Воздерживаться от любых действий, которые могут быть истолкованы как вымогательство или требования компенсации
Отчетность по безопасности Проблемы
Чтобы сообщить о проблеме безопасности, воспользуйтесь следующим официальным каналом:
https://edovia.com/.well-known/security.txt
Чем больше подробностей вы предоставите, тем быстрее мы сможем оценить и решить проблему.
Safe Harbor
Если вы проводите исследование безопасности добросовестно и в соответствии с этой политикой, мы:
- Считаем ваше исследование авторизованным в соответствии с применимыми законами о борьбе с хакерством
- Не возбуждаем судебные иски за непреднамеренные нарушения политики
- Не применяем законы о борьбе с обходом мер против вашего тестирования
- Рассматриваем ваши результаты как попытку улучшить безопасность, а не как нарушение наших условий
Если третья сторона подаст на вас судебный иск за исследование, соответствующее этой политике, мы сообщим, что ваши действия соответствовали принципам ответственного раскрытия информации.
Если вы не уверены, соответствует ли ваше тестирование этой политике, свяжитесь с нами, прежде чем продолжить.
Примечание: Safe Harbor применяется только к юридическим искам под контролем Edovia и не распространяется на независимые третьи стороны.
Программа вознаграждений
Обратите внимание, что Edovia не участвует в программе поощрений или вознаграждений за обнаружение уязвимостей. Мы ценим ответственные отчёты об уязвимостях, но в настоящее время не предлагаем денежные вознаграждения или иные стимулы.