Политика раскрытия уязвимостей
# Политика раскрытия информации об уязвимостях Bring Your, LLC
## Введение
Компания Bring Your, LLC приветствует отзывы исследователей безопасности и широкой общественности , которые помогут улучшить нашу безопасность. Если вы считаете, что обнаружили уязвимость, проблему конфиденциальности, открытые данные или другие проблемы безопасности в любом из наших активов, мы хотим услышать ваше мнение. В этой политике описаны шаги по информированию нас об уязвимостях, чего мы ожидаем и что вы можете ожидать от нас.
## Системы в объеме
Эта политика применяется к любым цифровым активам, принадлежащим, управляемым или поддерживаемым Bring Your, LLC.
## Выходит за рамки
- Активы или другое оборудование, не принадлежащее сторонам, участвующим в настоящей политике.
Об уязвимостях, обнаруженных или подозреваемых в системах, выходящих за рамки области применения, следует сообщать соответствующему поставщику или соответствующему органу.
## Наши обязательства
Сотрудничая с нами, согласно настоящей политике, вы можете рассчитывать на то, что мы:
- оперативно реагировать на ваше сообщение и работать с вами над его пониманием и проверкой ;
- Стремиться держать вас в курсе развития уязвимости по мере ее обработки;
- Работать над своевременным устранением обнаруженных уязвимостей в рамках наших операционных ограничений; и
- Расширьте Safe Harbor для вашего исследования уязвимостей, связанного с этой политикой.
## Наши ожидания
Добросовестно участвуя в нашей программе раскрытия уязвимостей, мы просим вас:
- Играйте по правилам, включая соблюдение настоящей политики и любых других соответствующих соглашений. В случае каких-либо несоответствий между этой политикой и любыми другими применимыми условиями, условия этой политики будут иметь преимущественную силу;
Незамедлительно сообщайте о любых обнаруженных вами уязвимостях ;
- Не нарушайте конфиденциальность других людей, не нарушайте работу наших систем, не уничтожайте данные и/или не причиняйте вреда пользовательскому опыту;
- Используйте только официальные каналы для обсуждения с нами информации об уязвимостях;
- Предоставьте нам разумное количество времени (не менее 90 дней с момента первоначального отчета) для решения проблемы, прежде чем вы сообщите о ней публично;
- Выполнять тестирование только систем, входящих в объем работ, и соблюдать требования к системам и действиям, которые выходят за рамки;
- Если уязвимость обеспечивает непреднамеренный доступ к данным: ограничьте объем данных, к которым вы получаете доступ, до минимума, необходимого для эффективной демонстрации доказательства концепции; прекратите тестирование и немедленно отправьте отчет, если во время тестирования вы обнаружите какие-либо пользовательские данные, такие как личная информация (PII), личная медицинская информация (PHI), данные кредитной карты или конфиденциальная информация;
- Вам следует взаимодействовать только с тестовыми учетными записями, которыми вы владеете, или с явным разрешением владельца учетной записи; и
- Не занимайтесь вымогательством.
## Официальные каналы
Сообщайте о проблемах безопасности по адресу <[email protected]>, предоставляя всю необходимую информацию. Чем больше подробностей вы предоставите, тем легче нам будет выявить и устранить проблему.
## Безопасная гавань
При проведении исследования уязвимостей в соответствии с этой политикой мы считаем, что исследование, проводимое в соответствии с этой политикой, является:
- Уполномочены в отношении любых применимых законов о борьбе с хакерством, и мы не будем инициировать или поддерживать судебные иски против вас за случайные и добросовестные нарушения этой политики;
- Уполномочены в отношении любых соответствующих законов о борьбе с обходом, и мы не будем предъявлять вам претензии за обход технологического контроля;
- Освобождены от ограничений наших Условий обслуживания (TOS) и/или Политики допустимого использования (AUP), которые могут помешать проведению исследований безопасности, и мы отказываемся от этих ограничений на ограниченной основе; и
- Законно, полезно для общей безопасности Интернета и проводится добросовестно.
От вас, как всегда, ожидается соблюдение всех применимых законов. Если судебный иск инициирован третьей стороной против вас и вы выполнили эту политику, мы предпримем шаги, чтобы сообщить, что ваши действия были осуществлены в соответствии с этой политикой.
Если в любой момент у вас возникнут сомнения или вы не уверены в том, соответствует ли ваше исследование безопасности этой политике, отправьте отчет через один из наших официальных каналов, прежде чем двигаться дальше.
> Обратите внимание, что Safe Harbor применяется только к юридическим претензиям, находящимся под контролем организации, участвующей в этой политике, и что эта политика не накладывает обязательств на независимые третьи стороны.