Dom/Polityka ujawniania luk w zabezpieczeniach grupy

Polityka ujawniania luk w zabezpieczeniach grupy Kistler

Grupa Kistler z zadowoleniem przyjmuje opinie badaczy zajmujących się bezpieczeństwem oraz ogółu społeczeństwa, które pomagają nam poprawić nasze zabezpieczenia. Jeśli uważasz, że odkryłeś lukę w zabezpieczeniach, problem związany z prywatnością, ujawnione dane lub inne problemy związane z bezpieczeństwem w którymkolwiek z naszych zasobów, prosimy o kontakt. Niniejsza polityka określa kroki, jakie należy podjąć, aby zgłosić nam luki w zabezpieczeniach, czego oczekujemy i czego możesz oczekiwać od nas.

Systemy objęte polityką

  • Niniejsza polityka ma zastosowanie do
  • Wszystkich produktów Grupy Kistler
  • Wszystkich systemów Grupy Kistler podłączonych do Internetu
  • Nie uznajemy samego braku funkcji bezpieczeństwa za lukę w zabezpieczeniach.
  • Nie interesują nas wyniki generowane przez automatyczne skanery, takie jak brakujące nagłówki HTTP, konfiguracje TLS, flagi plików cookie, clickjacking itp., chyba że można je wykorzystać do stworzenia znaczącego exploita PoC.

Poza zakresem

Ogólne elementy poza zakresem

  • Ataki typu „odmowa usługi”
  • Inżynieria społeczna
  • Phishing
  • Fizyczny dostęp do obiektów Kistler lub obiektów partnerów Kistler
  • Aktywa lub inne wyposażenie niebędące własnością stron uczestniczących w niniejszej polityce

Luki w zabezpieczeniach wykryte lub podejrzewane w systemach poza zakresem należy zgłaszać odpowiedniemu dostawcy lub właściwym organom.

Elementy specjalnego zakresu

  • www.kistler.com : Główna strona internetowa, interesują nas wyłącznie krytyczne luki w zabezpieczeniach, takie jak zdalne wykonanie kodu (Remote Code Execution - RCE)

Nasze zobowiązania

Współpracując z nami zgodnie z niniejszą polityką, możesz oczekiwać, że:

  • Szybko zareagujemy na Twoje zgłoszenie i będziemy współpracować z Tobą w celu zrozumienia i zweryfikowania Twojego zgłoszenia
  • Będziemy starać się informować Cię na bieżąco o postępach w przetwarzaniu luki w zabezpieczeniach
  • Będziemy pracować nad usunięciem wykrytych luk w zabezpieczeniach w odpowiednim czasie, w ramach naszych ograniczeń operacyjnych
  • Rozszerzymy program Safe Harbor na Twoje badania nad lukami w zabezpieczeniach związane z niniejszą polityką

Nasze oczekiwania

Uczestnicząc w naszym programie ujawniania luk w zabezpieczeniach w dobrej wierze, prosimy o:

  • Przestrzeganie zasad, w tym niniejszej polityki i wszelkich innych odpowiednich umów. W przypadku jakichkolwiek rozbieżności między niniejszą polityką a innymi obowiązującymi warunkami, pierwszeństwo mają warunki niniejszej polityki
  • Natychmiastowe zgłaszanie wszelkich wykrytych luki w zabezpieczeniach.
  • Unikanie naruszania prywatności innych osób, zakłócania działania naszych systemów, niszczenia danych i/lub szkodzenia komfortowi użytkowania.
  • Korzystanie wyłącznie z oficjalnych kanałów komunikacji w celu omówienia z nami informacji dotyczących luk w zabezpieczeniach.
  • Przeprowadzanie testów wyłącznie na systemach objętych zakresem programu i szanowanie systemów i działania, które nie są objęte zakresem programu.
  • Jeśli luka w zabezpieczeniach zapewnia niezamierzony dostęp do danych: ogranicz ilość danych, do których uzyskujesz dostęp, do minimum wymaganego do skutecznego wykazania słuszności koncepcji; i zaprzestań testowania oraz natychmiast prześlij raport, jeśli podczas testowania natrafisz na jakiekolwiek dane użytkowników, takie jak dane osobowe (PII), dane dotyczące zdrowia (PHI), dane kart kredytowych lub informacje zastrzeżone.
  • Korzystanie wyłącznie z kont testowych, które posiadasz lub na które masz wyraźną zgodę właściciela konta.
  • Nie angażowanie się w wymuszenia.

Polityka ujawniania

Skoordynowane ujawnianie: Szczegóły dotyczące luki w zabezpieczeniach mogą zostać udostępnione stronom trzecim po jej usunięciu i uzyskaniu zgody właściciela programu na jej ujawnienie.

Oficjalne kanały

Prosimy o zgłaszanie problemów związanych z bezpieczeństwem za pośrednictwem naszych oficjalnych kanałów, podając wszystkie istotne informacje. Im więcej szczegółów podasz, tym łatwiej będzie nam zdiagnozować i naprawić problem.

Oficjalne kanały to:

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=lVoV
-----END PGP PUBLIC KEY BLOCK-----

Bezpieczna przystań (Safe Harbor)

Podczas badania luk w zabezpieczeniach, zgodnie z niniejszą polityką, uznajemy badania przeprowadzone w ramach niniejszej polityki za:

  • Autoryzowane w odniesieniu do wszelkich obowiązujących przepisów dotyczących przeciwdziałania hakowaniu i nie będziemy wszczynać ani wspierać działań prawnych przeciwko użytkownikowi w sytuacji, w kótrej do naruszeń niniejszej polityki dochodzi przypadkowo i zostały one dokonane w dobrej wierze.
  • Autoryzowane w odniesieniu do wszelkich odpowiednich przepisów dotyczących przeciwdziałania obchodzeniu zabezpieczeń i nie będziemy wnosić przeciwko Państwu roszczeń z tytułu obchodzenia zabezpieczeń technologicznych
  • Zwolnione z ograniczeń zawartych w naszych Warunkach świadczenia usług (TOS) i/lub Polityce dopuszczalnego użytkowania (AUP), które mogłyby zakłócać prowadzenie badań dotyczących bezpieczeństwa, i zrzekamy się tych ograniczeń w ograniczonym zakresie
  • Zgodne z prawem, pomocne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze

Oczekuje się, że jak zawsze będziesz przestrzegać wszystkich obowiązujących przepisów. Jeśli strona trzecia podejmie przeciwko Tobie działania prawne, a Ty przestrzegałeś niniejszej polityki, podejmiemy kroki w celu poinformowania, że Twoje działania były zgodne z niniejszą polityką.

Jeśli w dowolnym momencie masz wątpliwości lub nie jesteś pewien, czy Twoje badania dotyczące bezpieczeństwa są zgodne z niniejszą polityką, przed podjęciem dalszych działań prześlij zgłoszenie za pośrednictwem jednego z naszych oficjalnych kanałów.

Informacje prawne

Firma Kistler zastrzega sobie prawo do zmiany warunków niniejszej polityki, a udział użytkownika oznacza akceptację wszystkich warunków. Prosimy o regularne sprawdzanie tej strony, ponieważ rutynowo aktualizujemy warunki naszej polityki i kryteria kwalifikacyjne, które wchodzą w życie z chwilą opublikowania. Zastrzegamy sobie prawo do anulowania niniejszej polityki w dowolnym momencie.