سياسة اكتشاف الثغرات الأمنية
Iمنتدى مرسى الأحاسيس
OnePlan تلتزم شركة Limited بضمان أمن الجمهور من خلال حماية معلوماتهم من الكشف غير المبرر. الغرض من هذه السياسة هو تزويد الباحثين الأمنيين بإرشادات واضحة لإجراء أنشطة اكتشاف الثغرات الأمنية ونقل تفضيلاتنا حول كيفية إرسال الثغرات الأمنية المكتشفة إلينا.
تصف هذه السياسة أنظمة وأنواع البحوث المشمولة بهذه السياسة، كيفية إرسال تقارير الضعف لنا، و حتى متى نطلب من الباحثين الأمنيين الانتظار قبل الكشف علنًا عن الثغرات الأمنية.
نريد أن يشعر الباحثون الأمنيون بالارتياح عند الإبلاغ عن الثغرات الأمنية التي اكتشفوها - كما هو موضح في هذه السياسة - حتى نتمكن من إصلاحها والحفاظ على أمان مستخدمينا. لقد قمنا بتطوير هذه السياسة لتعكس قيمنا وتحافظ على إحساسنا بالمسؤولية تجاه الباحثين الأمنيين الذين يشاركوننا خبراتهم بحسن نية.
Authorization
إذا بذلت جهدًا حسن النية للامتثال لهذه السياسة أثناء بحثك الأمني، فسنعتبر بحثك معتمدًا، وسنعمل معك لفهم المشكلة وحلها بسرعة، و OnePlan لن توصي شركة Limited أو تتخذ إجراءات قانونية تتعلق ببحثك.
Gالخطوط العامة
ولأغراض هذه السياسة، يعني مصطلح "البحث" الأنشطة التي تقوم فيها بما يلي:
- أبلغنا في أقرب وقت ممكن بعد اكتشاف مشكلة أمنية فعلية أو محتملة.
- افعل كل ما هو ممكن لتجنب انتهاكات الخصوصية، وتدهور تجربة المستخدم، وتعطيل أنظمة الإنتاج، وتدمير البيانات أو التلاعب بها.
- استخدم عمليات الاستغلال فقط بالقدر الضروري لتأكيد وجود ثغرة أمنية. لا تستخدم برمجيات إكسبلويت لتسوية البيانات أو استخلاصها، أو إنشاء إمكانية الوصول إلى سطر الأوامر و/أو الاستمرارية، أو استخدام برمجيات إكسبلويت "للتحويل" إلى أنظمة أخرى.
- أنت تمنحنا قدرًا معقولاً من الوقت لحل المشكلة قبل الكشف عنها علنًا.
- لا يجوز لك المساس عمدًا بالخصوصية أو السلامة OnePlan عدد محدود من الموظفين، أو أي أطراف ثالثة.
- لا يجوز لك المساس عمدًا بالملكية الفكرية أو المصالح التجارية أو المالية الأخرى لأي شخص OnePlan أفراد أو جهات محدودة، أو أي أطراف ثالثة.
بمجرد إثبات وجود ثغرة أمنية أو مواجهة بيانات حساسة (بما في ذلك معلومات التعريف الشخصية أو المعلومات المالية أو معلومات الملكية أو الأسرار التجارية لأي طرف)، ويجب عليك إيقاف اختباراتك وإخطارنا فورًا وعدم الكشف عن هذه البيانات لأي شخص.
Sتغلب
Tتنطبق سياسته على الأنظمة والخدمات التالية:
|
oneplanevents.com |
placetwin.com |
الأنظمة والخدمات المرتبطة مباشرة المجالات والمجالات الفرعية المذكورة أعلاه في النطاق. بالإضافة إلى ذلك، أي موقع ويب يتم نشره مع رابط لهذه السياسة يعتبر ضمن النطاق. تعتبر مواقع الويب غير المدرجة هنا بشكل صريح أو المنشورة مع رابط لهذه السياسة خارج نطاق هذه السياسة. إن الثغرات الأمنية المكتشفة في أنظمة البائعين لدينا تقع خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرة إلى البائع وفقًا لسياسة الكشف الخاصة به (إن وجدت). إذا لم تكن متأكدًا مما إذا كان النظام أو نقطة النهاية ضمن النطاق أم لا، فاتصل [البريد الإلكتروني محمي] قبل بدء البحث أو عند جهة الاتصال الأمنية لاسم مجال النظام المدرج في .com WHOIS.
على الرغم من أننا نقوم بتطوير وصيانة الأنظمة أو الخدمات الأخرى التي يمكن الوصول إليها عبر الإنترنت، فإننا نطلب إجراء البحث والاختبار النشط فقط على الأنظمة والخدمات التي يغطيها نطاق هذه الوثيقة. إذا كنت تعتقد أن النظام الذي لا تغطيه هذه الوثيقة يستحق الاختبار، فيرجى الاتصال بنا لمناقشة هذا الأمر مسبقًا. وسوف نقوم بتوسيع نطاق هذه السياسة مع مرور الوقت.
• [البريد الإلكتروني محمي] عنوان البريد الإلكتروني مخصص للإبلاغ عن العيوب الأمنية للمنتج أو الخدمة فقط. لا يتم استخدامه للحصول على معلومات الدعم الفني لمنتجاتنا أو خدماتنا. لن تتم معالجة أي محتوى بخلاف ذلك الخاص بالعيوب الأمنية في منتجاتنا أو خدماتنا.
Rقواعد الخطوبة
Sيجب على الباحثين في مجال الأمن ألا يقوموا بما يلي:
- اختبار أي نظام آخر غير الأنظمة المنصوص عليها في قسم "النطاق" أعلاه،
- الكشف عن معلومات الثغرات الأمنية باستثناء ما هو منصوص عليه في قسمي "الإبلاغ عن ثغرة أمنية" و"الإفصاح" أدناه،
- المشاركة في الاختبار المادي للمرافق أو الموارد،
- المشاركة في الهندسة الاجتماعية،
- إرسال بريد إلكتروني غير مرغوب فيه إلى مستخدمي OnePlan محدودة، بما في ذلك رسائل "التصيد الاحتيالي"،
- تنفيذ أو محاولة تنفيذ هجمات "رفض الخدمة" أو "استنزاف الموارد"،
- إدخال البرامج الضارة،
- إجراء الاختبارات بطريقة قد تؤدي إلى تدهور أداء الجهاز OnePlan أنظمة محدودة أو تغييرها أو تعطيلها أو تعطيلها عن قصد OnePlan أنظمة محدودة
- اختبار تطبيقات أو مواقع الويب أو الخدمات التابعة لجهات خارجية والتي تتكامل مع أو ترتبط بـ أو منها OnePlan أنظمة محدودة
- حذف أو تغيير أو مشاركة أو الاحتفاظ أو التدمير OnePlan بيانات محدودة، أو تقديم OnePlan بيانات محدودة لا يمكن الوصول إليها، أو،
- استخدام استغلال لتصفية البيانات، وإنشاء الوصول إلى سطر الأوامر، وإقامة تواجد مستمر على OnePlan أنظمة محدودة، أو "محورية" للآخرين OnePlan أنظمة محدودة.
Sيمكن للباحثين في مجال الأمن:
- عرض أو تخزين OnePlan محدودية البيانات غير العامة فقط بالقدر اللازم لتوثيق وجود ثغرة أمنية محتملة.
Sيجب على الباحثين في مجال الأمن:
- التوقف عن الاختبار وإخطارنا فور اكتشاف الثغرة الأمنية،
- التوقف عن الاختبار وإخطارنا فورًا عند اكتشاف الكشف عن بيانات غير عامة، و،
- تطهير أي المخزنة OnePlan بيانات غير عامة محدودة عند الإبلاغ عن الثغرة الأمنية.
Rالإبلاغ عن ثغرة أمنية
نحن نقبل تقارير الضعف في [البريد الإلكتروني محمي]. يمكن تقديم التقارير بشكل مجهول. نحن لا ندعم رسائل البريد الإلكتروني المشفرة بـ PGP في الوقت الحالي.
لتسهيل إدارتنا للثغرة الأمنية، نتوقع بعض التقارير المكتوبة جيدًا باللغة الإنجليزية أو الفرنسية والتي تحتوي على المعلومات التالية:
- وقت وتاريخ الاكتشاف
- طراز المنتج ورقمه باستخدام تسميات البائع إن أمكن
- عنوان URL ومعلومات المتصفح بما في ذلك النوع والإصدار والإدخال المطلوب لإعادة إنتاج الثغرة الأمنية؛
- الوصف الفني - تقديم الإجراءات التي تم تنفيذها والنتيجة بأكبر قدر ممكن من التفاصيل؛
- نموذج التعليمات البرمجية — إذا أمكن، قم بتوفير التعليمات البرمجية التي تم استخدامها في الاختبار لإنشاء الثغرة الأمنية؛
- معلومات الاتصال الخاصة بطرف إعداد التقارير — أفضل طريقة للوصول إليها
- خطة (خطط) الإفصاح — الخطة الحالية للإفصاح؛
- تقييم التهديدات/المخاطر - يحتوي على تفاصيل التهديدات و/أو المخاطر التي تم تحديدها بما في ذلك مستوى المخاطر (مرتفع، متوسط، منخفض) لنتيجة التقييم؛
- تكوين البرنامج - تفاصيل تكوين الكمبيوتر/الجهاز في وقت الثغرة الأمنية؛
- المعلومات ذات الصلة حول الأجهزة المتصلة في حالة ظهور ثغرة أمنية أثناء التفاعل. عندما يقوم جهاز ثانوي بتشغيل الثغرة الأمنية، يجب توفير هذه التفاصيل.
يرجى عدم تضمين أي بيانات شخصية في تقاريرك، باستثناء ما هو ضروري للاتصال بك.
إن المشاركة في هذا البرنامج لا تمنحك أي حقوق ملكية فكرية مملوكة لك OnePlan محدودة أو أي طرف ثالث.
سيتم استخدام المعلومات المقدمة بموجب هذه السياسة لأغراض دفاعية فقط - للتخفيف من نقاط الضعف أو معالجتها. إذا كانت النتائج التي توصلت إليها تتضمن ثغرات أمنية تم اكتشافها حديثًا والتي تؤثر على جميع مستخدمي المنتج أو الخدمة وليس فقط OnePlan Limited، قد نشارك تقريرك مع الوكالة الوطنية لأمن نظم المعلومات (ANSSI)، حيث سيتم التعامل معه بموجب عملية الكشف المنسقة عن الثغرات الأمنية. لن نشارك اسمك أو معلومات الاتصال الخاصة بك دون الحصول على إذن صريح.
من خلال إرسال تقرير إلينا، فإنك تشير إلى أنك قرأت وفهمت ووافقت على الإرشادات الموضحة في هذه السياسة لإجراء البحوث الأمنية والكشف عن الثغرات الأمنية أو مؤشرات الثغرات المتعلقة بها OnePlan أنظمة معلومات محدودة، والموافقة على تخزين محتويات الاتصالات ومتابعة الاتصالات على نظام معلومات الاتحاد الأوروبي.
لمساعدتنا في فرز الطلبات المقدمة وتحديد أولوياتها، نوصي بأن تكون تقاريرك:
- الالتزام بجميع الشروط والأحكام القانونية الموضحة في OnePlan شروط خدمة الإفصاح المسؤول المحدود. (يتم تحديده في بريدك الإلكتروني)
- قم بوصف الثغرة الأمنية ومكان اكتشافها والأثر المحتمل للاستغلال.
- قدم وصفًا تفصيليًا للخطوات اللازمة لإعادة إنتاج الثغرة الأمنية (يساعد إثبات وجود نصوص برمجية أو لقطات شاشة للمفهوم).
Dإغلاق
OnePlan تلتزم شركة Limited بإصلاح نقاط الضعف على الفور. ومع ذلك، فإننا ندرك أن الكشف العلني عن الثغرة الأمنية في غياب الإجراءات التصحيحية المتاحة بسهولة من المحتمل أن يؤدي إلى زيادة المخاطر بدلاً من تقليلها. ولذلك، نطلب منك الامتناع عن مشاركة المعلومات حول الثغرات الأمنية المكتشفة لمدة 90 يومًا تقويميًا بعد تلقي إقرارنا ببلاغك. إذا كنت تعتقد أن الآخرين بحاجة إلى معرفة الثغرة الأمنية قبل أن ننفذ الإجراءات التصحيحية، فإننا نطلب منك التشاور معنا مسبقًا.
يجوز لنا مشاركة تقارير الثغرات الأمنية مع الوكالة الوطنية لأمن نظم المعلومات (ANSSI)، بالإضافة إلى أي بائعين متأثرين. لن نشارك الأسماء أو بيانات الاتصال الخاصة بالباحثين الأمنيين ما لم يتم الحصول على إذن صريح.
الأسئلة المتكررة
يمكن إرسال الأسئلة المتعلقة بهذه السياسة إلى [البريد الإلكتروني محمي]. كما ندعوك إلى الاتصال بنا وتقديم اقتراحات لتحسين هذه السياسة.
