Огляд
У Edovia безпека є пріоритетом, і ми вітаємо відповідальні повідомлення про вразливості від дослідників безпеки та громадськості. Якщо ви вважаєте, що виявили проблему з безпекою, конфіденційністю або розкриті дані в наших продуктах чи службах, радимо вам поділитися цим з нами. У цьому документі описано, як повідомляти про проблеми безпеки, наші зобов’язання та очікування.
Сфера дії
Ця політика застосовується до:
- Edovia програмне забезпечення та продукти
- Служби та інфраструктура, якими керує Edovia
- Документація, що стосується нашої продукції
Винятки
Ці типи звітів не поширюються на цю політику.
- Проблеми фізичної безпеки (наприклад, доступ до офісу, несанкціоноване проникнення)
- Атаки соціальної інженерії (наприклад, фішинг, спроби видавання себе за іншу особу)
- Проблеми в системах, які явно не перелічені в розділі "Область".
- Косметичні проблеми (наприклад, помилки UI/UX без впливу на безпеку)
- Друкарські помилки
- Відмова в обслуговуванні (DoS/DDoS) уразливості
- Служби третіх сторін, якими не керує Edovia
Якщо ви виявите проблему в системі, яка не входить до компетенції, радимо повідомити про це відповідному постачальнику чи організації.
Чого ви можете очікувати від нас
Якщо ви добросовісно повідомляєте про дійсну проблему безпеки, ми:
- Підтвердьте свій звіт і почніть оцінювання якомога швидше
- Інформувати вас про статус вашого звіту, поки він розглядається
- Робота над усуненням вразливостей системи безпеки на основі їх серйозності та впливу
- Забезпечити захист Safe Harbor, якщо розкриття інформації відповідає вказівкам цієї політики
Рекомендації щодо відповідального розкриття інформації
Щоб забезпечити відповідальний та ефективний процес розкриття інформації, ми просимо вас:
- Дотримуйтесь цієї політики та будь-яких застосовних умов, досліджуючи питання безпеки
- Негайно повідомляйте про знахідки та уникайте дій, які можуть порушити роботу служб або користувачів
- Обмежте тестування тим, що необхідно для демонстрації проблеми
- Використовуйте офіційні канали, щоб повідомляти про проблеми безпеки
- Дайте нам розумний час для вирішення проблеми до оприлюднення
- Тестуйте лише системи в межах діапазону та уникайте будь-яких явно виключених цілей
- Використовуйте тестові облікові записи, якими ви володієте або маєте явний дозвіл на використання
- Утримуватися від будь-яких дій, які можуть бути розцінені як вимагання чи вимоги компенсації
Повідомлення про проблеми безпеки
Щоб повідомити про проблему безпеки, скористайтеся цим офіційним каналом:
https://edovia.com/.well-known/security.txt
Що більше деталей ви надасте, то швидше ми зможемо оцінити та вирішити проблему.
Безпечна гавань
Якщо ви проводите дослідження безпеки сумлінно та відповідно до цієї політики, ми:
- Вважайте, що ваше дослідження дозволено відповідно до чинного законодавства про боротьбу з хакерством
- Не подавати до суду за ненавмисні порушення політики
- Не застосовувати закони про боротьбу з обходом проти вашого тестування
- Розглядайте свої висновки як спробу покращити безпеку, а не як порушення наших умов
Якщо третя сторона подає проти вас судовий позов за дослідження, яке відповідає цій політиці, ми повідомимо, що ваші дії відповідали принципам відповідального розкриття інформації.
Якщо ви не впевнені, чи відповідає ваше тестування цій політиці, зв’яжіться з нами, перш ніж продовжити.
Примітка. Правила Safe Harbor застосовуються лише до юридичних претензій під контролем Edovia і не поширюються на незалежних третіх сторін.
Програма винагород
Зверніть увагу, що Edovia не бере участі в програмах винагород або bug bounty. Ми цінуємо відповідальне повідомлення про вразливості, але наразі не пропонуємо грошової винагороди чи інших стимулів.