Logg inn
Registrer deg gratis

Bestill en demo

Retningslinjer for oppdagelse av sårbarheter

Introduction

OnePlan Limited er forpliktet til å sikre sikkerheten til publikum ved å beskytte deres informasjon mot uberettiget avsløring. Formålet med denne policyen er å gi sikkerhetsforskere klare retningslinjer for gjennomføring av sårbarhetsoppdagingsaktiviteter og å formidle våre preferanser for hvordan de skal sende inn oppdagede sårbarheter til oss.

Denne policyen beskriver systemer og typer forskning som dekkes av denne politikken, hvordan sende sårbarhetsrapporter til oss, og hvor lenge vi ber sikkerhetsforskere vente før de offentliggjør sårbarheter.

Vi vil at sikkerhetsforskere skal føle seg komfortable med å rapportere sårbarheter de har oppdaget – som beskrevet i denne policyen – slik at vi kan fikse dem og holde brukerne våre trygge. Vi har utviklet denne policyen for å gjenspeile våre verdier og opprettholde vår følelse av ansvar overfor sikkerhetsforskere som deler sin ekspertise med oss ​​i god tro.

Aautorisasjon

Hvis du gjør en god tro innsats for å overholde disse retningslinjene under sikkerhetsundersøkelsen din, vil vi vurdere forskningen din som autorisert, vi vil samarbeide med deg for å forstå og løse problemet raskt, og OnePlan Limited vil ikke anbefale eller forfølge rettslige skritt knyttet til forskningen din.

Gretningslinjer

For formålene med denne policyen betyr begrepet "forskning" aktiviteter der du:

  • Informer oss så snart som mulig etter å ha oppdaget et faktisk eller potensielt sikkerhetsproblem.
  • Gjør alt for å unngå brudd på personvernet, forringelse av brukeropplevelsen, forstyrrelse av produksjonssystemer og ødeleggelse eller manipulering av data.
  • Bruk kun utnyttelser i den grad det er nødvendig for å bekrefte tilstedeværelsen av en sårbarhet. Ikke bruk en utnyttelse til å kompromittere eller eksfiltrere data, etablere kommandolinjetilgang og/eller persistens, eller bruk utnyttelsen til å "pivotere" til andre systemer.
  • Du gir oss rimelig tid til å løse problemet før du avslører det offentlig.
  • Du vil ikke med vilje kompromittere personvernet eller sikkerheten til OnePlan Begrenset personell, eller tredjeparter.
  • Du vil ikke med vilje kompromittere den intellektuelle eiendommen eller andre kommersielle eller økonomiske interesser til noen OnePlan Begrenset personell eller enheter, eller tredjeparter.

Når du har etablert eksistensen av en sårbarhet eller har støtt på sensitive data (inkludert personlig identifiserbar informasjon, finansiell informasjon, proprietær informasjon eller forretningshemmeligheter fra en part), du må stoppe testingen, varsle oss umiddelbart og ikke avsløre slike data til noen.

Shåndtere

Thans policy gjelder for følgende systemer og tjenester:

oneplanevents.com

venuetwin.com

Systemer og tjenester direkte tilknyttet domener og underdomener oppført ovenfor er i omfang. I tillegg vurderes ethvert nettsted publisert med en lenke til denne policyen i omfang. Nettsteder som ikke er eksplisitt oppført her eller publisert med en lenke til denne policyen, anses som utenfor rammen for denne policyen. Sårbarheter oppdaget i våre leverandørers systemer er utenfor rammen av denne policyen og bør rapporteres direkte til leverandøren i samsvar med deres avsløringspolicy (hvis noen). Hvis du ikke er sikker på om et system eller endepunkt er innenfor omfanget eller ikke, ta kontakt [e-postbeskyttet] før du starter undersøkelsen eller hos sikkerhetskontakten for systemets domenenavn oppført i .com WHOIS.

Selv om vi utvikler og vedlikeholder andre systemer eller tjenester som er tilgjengelige via Internett, ber vi om at aktiv forskning og testing kun utføres på systemene og tjenestene som dekkes av dette dokumentets omfang. Hvis du mener at et system som ikke dekkes av dette dokumentet fortjener testing, vennligst kontakt oss for å diskutere dette på forhånd. Vi vil øke omfanget av denne politikken over tid.

De [e-postbeskyttet] E-postadressen er KUN for å rapportere produkt- eller tjenestesikkerhetsfeil. Den brukes ikke til å innhente teknisk støtteinformasjon for våre produkter eller tjenester. Alt annet innhold enn det som er spesifikt for sikkerhetsfeil i produktene eller tjenestene våre, vil ikke bli behandlet.

Rregler for engasjement

Ssikkerhetsforskere må ikke:

  • Test alle andre systemer enn systemene som er angitt i "Omfang"-delen ovenfor,
  • avsløre sårbarhetsinformasjon bortsett fra det som er angitt i delene "Rapportering av en sårbarhet" og "avsløring" nedenfor,
  • delta i fysisk testing av fasiliteter eller ressurser,
  • engasjere seg i sosial ingeniørkunst,
  • sende uønsket e-post til brukere av OnePlan Begrenset, inkludert "phishing"-meldinger,
  • utføre eller forsøke å utføre «denial of service»- eller «Resource Exhaustion»-angrep,
  • introdusere skadelig programvare,
  • gjennomføre tester på en måte som kan forringe driften av OnePlan Begrensede systemer; eller med vilje endre, forstyrre eller deaktivere OnePlan Begrensede systemer,
  • teste tredjepartsapplikasjoner, nettsteder eller tjenester som integreres med eller lenker til eller fra OnePlan Begrensede systemer,
  • slette, endre, dele, beholde eller ødelegge OnePlan Begrenset data, eller gjengi OnePlan Begrenset data utilgjengelig, eller,
  • bruke en utnyttelse for å eksfiltrere data, etablere kommandolinjetilgang, etablere en vedvarende tilstedeværelse på OnePlan Begrensede systemer, eller "pivot" til andre OnePlan Begrensede systemer.

Ssikkerhetsforskere kan:

  • Se eller lagre OnePlan Begrensede ikke-offentlige data bare i den grad det er nødvendig for å dokumentere tilstedeværelsen av en potensiell sårbarhet.

SSikkerhetsforskere må:

  • slutte å teste og varsle oss umiddelbart etter oppdagelse av en sårbarhet,
  • slutte å teste og varsle oss umiddelbart etter oppdagelse av en eksponering av ikke-offentlige data, og,
  • rense eventuelle lagrede OnePlan Begrensede ikke-offentlige data ved rapportering av en sårbarhet.

Rrapportering av en sårbarhet

Vi tar imot sårbarhetsrapporter kl [e-postbeskyttet]. Rapporter kan sendes anonymt. Vi støtter ikke PGP-krypterte e-poster for øyeblikket.

For å lette vår håndtering av sårbarheten forventer vi noen velskrevne rapporter på engelsk eller fransk som inneholder følgende informasjon:

  • Tid og dato for oppdagelsen
  • Produktmodell og nummer ved å bruke leverandørnomenklaturen hvis mulig
  • URL, nettleserinformasjon inkludert type og versjon og inndata som kreves for å reprodusere sårbarheten;
  • Teknisk beskrivelse — angi hvilke handlinger som ble utført og resultatet så detaljert som mulig;
  • Eksempelkode - hvis mulig, oppgi kode som ble brukt i testing for å skape sårbarheten;
  • Rapporteringspartens kontaktinformasjon — beste metoden å nå
  • Disclosure Plan(s) — gjeldende plan for å avsløre;
  • Trussel/risikovurdering — inneholder detaljer om de identifiserte truslene og/eller risikoene, inkludert et risikonivå (høyt, middels, lavt) for vurderingsresultatet;
  • Programvarekonfigurasjon — detaljer til datamaskin/enhetskonfigurasjon på tidspunktet for sårbarhet;
  • Relevant informasjon om tilkoblede enheter hvis sårbarhet oppstår under interaksjon. Når en sekundær enhet utløser sårbarheten, bør disse opplysningene oppgis.

Vennligst ikke ta med noen personopplysninger i rapportene dine, bortsett fra når det er nødvendig for å kontakte deg.

Deltakelse i dette programmet gir deg ingen rettigheter til åndsverk som eies av OnePlan Limited eller en tredjepart.

Informasjon som sendes inn i henhold til denne policyen vil kun brukes til forsvarsformål – for å redusere eller utbedre sårbarheter. Hvis funnene dine inkluderer nylig oppdagede sårbarheter som påvirker alle brukere av et produkt eller en tjeneste og ikke bare OnePlan Begrenset, kan vi dele rapporten din med National Agency for the Security of Information Systems (ANSSI), hvor den vil bli håndtert under deres koordinerte prosess for avsløring av sårbarheter. Vi vil ikke dele ditt navn eller kontaktinformasjon uten uttrykkelig tillatelse.

Ved å sende oss en rapport, indikerer du at du har lest, forstått og godtar retningslinjene beskrevet i denne policyen for gjennomføring av sikkerhetsundersøkelser og avsløring av sårbarheter eller indikatorer på sårbarheter knyttet til OnePlan Begrensede informasjonssystemer, og samtykke til å ha innholdet i kommunikasjonen og oppfølgingskommunikasjonen lagret i et EU-informasjonssystem.

For å hjelpe oss med å prøve og prioritere innsendinger, anbefaler vi at rapportene dine:

  • Overhold alle juridiske vilkår og betingelser skissert på OnePlan Vilkår for bruk av begrenset ansvarlig offentliggjøring. (spesifiseres i e-posten din)
  • Beskriv sårbarheten, hvor den ble oppdaget, og den potensielle effekten av utnyttelse.
  • Tilby en detaljert beskrivelse av trinnene som trengs for å reprodusere sårbarheten (bevis på konseptskript eller skjermbilder er nyttige).

Disclosure

OnePlan Limited er forpliktet til å fikse sårbarheter umiddelbart. Vi erkjenner imidlertid at offentlig avsløring av en sårbarhet i fravær av lett tilgjengelige korrigerende tiltak sannsynligvis øker snarere enn reduserer risikoen. Derfor krever vi at du avstår fra å dele informasjon om oppdagede sårbarheter i 90 kalenderdager etter at du har mottatt vår bekreftelse på rapporten din. Hvis du mener at andre trenger å vite om sårbarheten før vi iverksetter korrigerende tiltak, ber vi deg rådføre deg med oss ​​på forhånd.

Vi kan dele sårbarhetsrapporter med National Agency for the Security of Information Systems (ANSSI), så vel som alle berørte leverandører. Vi vil ikke dele navn eller kontaktdata til sikkerhetsforskere med mindre det er gitt uttrykkelig tillatelse.

spørsmål

Spørsmål angående denne policyen kan sendes til [e-postbeskyttet]. Vi inviterer deg også til å kontakte oss med forslag til forbedring av denne policyen.

Abonner på vårt nyhetsbrev

Hjelp

Organisasjon

USA adresse

1968 S.Coast Hwy #365
Laguna Beach, CA 92651

UK adresse

Kemp House
Byvei 152 – 160
London, EC1V 2NX
Fransk flagg

oneplanevents.fr

USA adresse

1968 S.Coast Hwy #365
Laguna Beach, CA 92651

UK adresse

Kemp House
Byvei 152 – 160
London, EC1V 2NX
AWS-partner
OnePlan er en offisiell
partner til AWS
MIT Sloan Sports Analytics-konferanse
Beste oppstart 2023
Event Technology Awards

Beste Event Management-plattform
Beste festivalteknologi

Beste spillested og driftsteknologi 2022
Best Venue Operations Technology 2024
© OnePlan 2024 Alle rettigheter reservert |
Linkedin-in Instagram Facebook f Youtube
Event Technology Awards
Beste Event Management-plattform
Beste festivalteknologi
Sports Technology Awards
Beste spillested og driftsteknologi 2022
Hovedmeny
Hovedmeny
Hovedmeny
Hovedmeny
Hovedmeny
Hovedmeny
Hovedmeny
Hovedmeny