# Политика раскрытия информации об уязвимостях Bring Your, LLC

## Введение

Компания Bring Your, LLC приветствует отзывы исследователей безопасности и широкой общественности , которые помогут улучшить нашу безопасность. Если вы считаете, что обнаружили уязвимость, проблему конфиденциальности, открытые данные или другие проблемы безопасности в любом из наших активов, мы хотим услышать ваше мнение. В этой политике описаны шаги по информированию нас об уязвимостях, чего мы ожидаем и что вы можете ожидать от нас.

## Системы в объеме

Эта политика применяется к любым цифровым активам, принадлежащим, управляемым или поддерживаемым Bring Your, LLC.

## Выходит за рамки

- Активы или другое оборудование, не принадлежащее сторонам, участвующим в настоящей политике.

Об уязвимостях, обнаруженных или подозреваемых в системах, выходящих за рамки области применения, следует сообщать соответствующему поставщику или соответствующему органу.

## Наши обязательства

Сотрудничая с нами, согласно настоящей политике, вы можете рассчитывать на то, что мы:

- оперативно реагировать на ваше сообщение и работать с вами над его пониманием и проверкой ;

- Стремиться держать вас в курсе развития уязвимости по мере ее обработки;

- Работать над своевременным устранением обнаруженных уязвимостей в рамках наших операционных ограничений; и

- Расширьте Safe Harbor для вашего исследования уязвимостей, связанного с этой политикой.

## Наши ожидания

Добросовестно участвуя в нашей программе раскрытия уязвимостей, мы просим вас:

- Играйте по правилам, включая соблюдение настоящей политики и любых других соответствующих соглашений. В случае каких-либо несоответствий между этой политикой и любыми другими применимыми условиями, условия этой политики будут иметь преимущественную силу;

Незамедлительно сообщайте о любых обнаруженных вами уязвимостях ;

- Не нарушайте конфиденциальность других людей, не нарушайте работу наших систем, не уничтожайте данные и/или не причиняйте вреда пользовательскому опыту;

- Используйте только официальные каналы для обсуждения с нами информации об уязвимостях;

- Предоставьте нам разумное количество времени (не менее 90 дней с момента первоначального отчета) для решения проблемы, прежде чем вы сообщите о ней публично;

- Выполнять тестирование только систем, входящих в объем работ, и соблюдать требования к системам и действиям, которые выходят за рамки;

- Если уязвимость обеспечивает непреднамеренный доступ к данным: ограничьте объем данных, к которым вы получаете доступ, до минимума, необходимого для эффективной демонстрации доказательства концепции; прекратите тестирование и немедленно отправьте отчет, если во время тестирования вы обнаружите какие-либо пользовательские данные, такие как личная информация (PII), личная медицинская информация (PHI), данные кредитной карты или конфиденциальная информация;

- Вам следует взаимодействовать только с тестовыми учетными записями, которыми вы владеете, или с явным разрешением владельца учетной записи; и

- Не занимайтесь вымогательством.

## Официальные каналы

Сообщайте о проблемах безопасности по адресу <[email protected]>, предоставляя всю необходимую информацию. Чем больше подробностей вы предоставите, тем легче нам будет выявить и устранить проблему.

## Безопасная гавань

При проведении исследования уязвимостей в соответствии с этой политикой мы считаем, что исследование, проводимое в соответствии с этой политикой, является:

- Уполномочены в отношении любых применимых законов о борьбе с хакерством, и мы не будем инициировать или поддерживать судебные иски против вас за случайные и добросовестные нарушения этой политики;

- Уполномочены в отношении любых соответствующих законов о борьбе с обходом, и мы не будем предъявлять вам претензии за обход технологического контроля;

- Освобождены от ограничений наших Условий обслуживания (TOS) и/или Политики допустимого использования (AUP), которые могут помешать проведению исследований безопасности, и мы отказываемся от этих ограничений на ограниченной основе; и

- Законно, полезно для общей безопасности Интернета и проводится добросовестно.

От вас, как всегда, ожидается соблюдение всех применимых законов. Если судебный иск инициирован третьей стороной против вас и вы выполнили эту политику, мы предпримем шаги, чтобы сообщить, что ваши действия были осуществлены в соответствии с этой политикой.

Если в любой момент у вас возникнут сомнения или вы не уверены в том, соответствует ли ваше исследование безопасности этой политике, отправьте отчет через один из наших официальных каналов, прежде чем двигаться дальше.

> Обратите внимание, что Safe Harbor применяется только к юридическим претензиям, находящимся под контролем организации, участвующей в этой политике, и что эта политика не накладывает обязательств на независимые третьи стороны.