Логин
Регистрируйтесь

Закажите демо

Политика обнаружения уязвимостей

IВЕДЕНИЕ

OnePlan Limited стремится обеспечить безопасность общественности, защищая ее информацию от необоснованного раскрытия. Цель этой политики — предоставить исследователям безопасности четкие рекомендации по проведению мероприятий по обнаружению уязвимостей и передать наши предпочтения относительно того, как сообщать нам об обнаруженных уязвимостях.

Эта политика описывает охваченные системы и виды исследований этой политикой, как отправить сообщает нам об уязвимостях и сколько мы просим исследователей безопасности подождать, прежде чем публично раскрывать уязвимости.

Мы хотим, чтобы исследователи безопасности чувствовали себя комфортно, сообщая об обнаруженных ими уязвимостях – как указано в этой политике – чтобы мы могли их исправить и обеспечить безопасность наших пользователей. Мы разработали эту политику, чтобы отразить наши ценности и сохранить чувство ответственности перед исследователями безопасности, которые добросовестно делятся с нами своим опытом.

Authorization

Если вы добросовестно приложите усилия для соблюдения этой политики во время вашего исследования безопасности, мы будем считать ваше исследование авторизованным, мы будем работать с вами, чтобы понять и быстро решить проблему, и OnePlan Limited не будет рекомендовать или возбуждать судебные иски, связанные с вашим исследованием.

Gрекомендации

Для целей настоящей политики термин «исследование» означает деятельность, в которой вы:

  • Сообщите нам как можно скорее после обнаружения фактической или потенциальной проблемы безопасности.
  • Сделайте все возможное, чтобы избежать нарушений конфиденциальности, ухудшения пользовательского опыта, сбоев в работе производственных систем, а также уничтожения или манипулирования данными.
  • Используйте эксплойты только в той степени, в которой это необходимо для подтверждения наличия уязвимости. Не используйте эксплойт для компрометации или кражи данных, установления доступа и/или сохранения данных из командной строки, а также не используйте эксплойт для «переключения» на другие системы.
  • Вы даете нам разумное количество времени для решения проблемы, прежде чем раскрывать ее публично.
  • Вы не будете намеренно подвергать риску конфиденциальность или безопасность OnePlan Ограниченный персонал или любые третьи лица.
  • Вы не будете намеренно ставить под угрозу интеллектуальную собственность или другие коммерческие или финансовые интересы каких-либо OnePlan Ограниченный персонал или организации, а также любые третьи стороны.

Как только вы установили наличие уязвимости или столкнулись с конфиденциальными данными (включая личную информацию, финансовую информацию, конфиденциальную информацию или коммерческую тайну любой стороны), вы должны прекратить тестирование, немедленно уведомить нас и никому не раскрывать такие данные.

Sсправляться

Tего политика распространяется на следующие системы и услуги:

oneplanevent.com

местонахождениеtwin.com

Системы и услуги, непосредственно связанные с домены и поддомены перечисленные выше входят в сферу применения. Кроме того, любой веб-сайт, опубликованный со ссылкой на эту политику, считается ее областью действия. Веб-сайты, которые явно не перечислены здесь или не опубликованы со ссылкой на эту политику, считаются выходящими за рамки этой политики. Уязвимости, обнаруженные в системах наших поставщиков, выходят за рамки настоящей политики, и о них следует сообщать непосредственно поставщику в соответствии с его политикой раскрытия информации (если таковая имеется). Если вы не уверены, входит ли система или конечная точка в область действия или нет, обратитесь [электронная почта защищена] перед началом исследования или обратитесь к контактному лицу по безопасности доменного имени системы, указанного в WHOIS .com.

Хотя мы разрабатываем и поддерживаем другие системы и службы, доступные через Интернет, мы просим, ​​чтобы активные исследования и испытания проводились только в отношении систем и служб, охватываемых областью действия этого документа. Если вы считаете, что система, не описанная в этом документе, заслуживает тестирования, свяжитесь с нами, чтобы обсудить это заранее. Со временем мы расширим масштабы этой политики.

Ассоциация [электронная почта защищена] Адрес электронной почты предназначен ТОЛЬКО для сообщения о недостатках безопасности продуктов или услуг. Он не используется для получения информации о технической поддержке наших продуктов или услуг. Любой контент, кроме связанного с недостатками безопасности в наших продуктах или услугах, обрабатываться не будет.

Rправила взаимодействия

SИсследователи безопасности не должны:

  • Протестируйте любую систему, кроме систем, указанных в разделе «Объем применения» выше,
  • раскрывать информацию об уязвимостях, за исключением случаев, указанных в разделах «Сообщение об уязвимости» и «Раскрытие информации» ниже,
  • участвовать в физических испытаниях объектов или ресурсов,
  • заниматься социальной инженерией,
  • отправлять нежелательные электронные письма пользователям OnePlan Ограничено, включая «фишинговые» сообщения,
  • выполнение или попытка выполнения атак типа «отказ в обслуживании» или «исчерпание ресурсов»,
  • внедрение вредоносного программного обеспечения,
  • проводить испытания способом, который может ухудшить работу OnePlan Ограниченные системы; или намеренно изменить, нарушить или отключить OnePlan Ограниченные системы,
  • тестировать сторонние приложения, веб-сайты или службы, которые интегрируются или ссылаются на них или с них OnePlan Ограниченные системы,
  • удалить, изменить, поделиться, сохранить или уничтожить OnePlan Ограниченные данные или рендеринг OnePlan Ограниченные данные недоступны, или,
  • использовать эксплойт для кражи данных, установить доступ к командной строке, установить постоянное присутствие на OnePlan Ограниченные системы или «поворот» на другие OnePlan Ограниченные системы.

SИсследователи безопасности могут:

  • Посмотреть или сохранить OnePlan Ограничение закрытых данных только в той степени, в которой это необходимо для документирования наличия потенциальной уязвимости.

SИсследователи безопасности должны:

  • прекратить тестирование и немедленно уведомить нас об обнаружении уязвимости,
  • прекратить тестирование и немедленно уведомить нас при обнаружении раскрытия закрытых данных, и,
  • очистить все сохраненные OnePlan Ограниченные закрытые данные при сообщении об уязвимости.

Rсообщение об уязвимости

Мы принимаем отчеты об уязвимостях по адресу [электронная почта защищена]. Отчеты могут быть поданы анонимно. В настоящее время мы не поддерживаем электронную почту, зашифрованную с помощью PGP.

Чтобы облегчить управление уязвимостью, мы ожидаем наличие хорошо написанных отчетов на английском или французском языке, содержащих следующую информацию:

  • Время и дата открытия
  • Модель и номер продукта, если возможно, используя номенклатуру поставщика.
  • URL-адрес, информация о браузере, включая тип и версию, а также данные, необходимые для воспроизведения уязвимости;
  • Техническое описание — максимально подробно опишите, какие действия выполнялись и какой результат;
  • Пример кода — если возможно, предоставьте код, который использовался при тестировании для создания уязвимости;
  • Контактная информация лица, сообщающего, — лучший способ связаться
  • План(ы) раскрытия информации — текущий план раскрытия информации;
  • Оценка угроз/рисков — содержит подробную информацию об выявленных угрозах и/или рисках, включая уровень риска (высокий, средний, низкий) для результата оценки;
  • Конфигурация программного обеспечения — сведения о конфигурации компьютера/устройства на момент возникновения уязвимости;
  • Актуальная информация о подключенных устройствах, если при взаимодействии возникает уязвимость. Когда вторичное устройство вызывает уязвимость, необходимо предоставить эти сведения.

Пожалуйста, не включайте в свои отчеты какие-либо личные данные, за исключением случаев, когда это необходимо для связи с вами.

Участие в этой программе не дает вам никаких прав на интеллектуальную собственность, принадлежащую OnePlan Limited или любая третья сторона.

Информация, представленная в соответствии с этой политикой, будет использоваться только в защитных целях – для смягчения или устранения уязвимостей. Если ваши выводы включают недавно обнаруженные уязвимости, которые затрагивают всех пользователей продукта или услуги, а не только OnePlan Limited, мы можем передать ваш отчет Национальному агентству по безопасности информационных систем (ANSSI), где он будет обработан в рамках скоординированного процесса раскрытия уязвимостей. Мы не будем разглашать ваше имя или контактную информацию без явного разрешения.

Отправляя нам отчет, вы подтверждаете, что прочитали, поняли и согласились с правилами, описанными в этой политике. для проведения исследований безопасности и раскрытия уязвимостей или индикаторов уязвимостей, связанных с OnePlan Ограниченные информационные системы и согласие на хранение содержания сообщений и последующих сообщений в информационной системе ЕС.

Чтобы помочь нам сортировать и определять приоритетность отправленных материалов, мы рекомендуем, чтобы ваши отчеты:

  • Соблюдайте все юридические условия, изложенные в OnePlan Условия обслуживания ограниченного ответственного раскрытия информации. (указать в письме)
  • Опишите уязвимость, место ее обнаружения и потенциальные последствия эксплуатации.
  • Предложите подробное описание шагов, необходимых для воспроизведения уязвимости (полезны сценарии или снимки экрана, подтверждающие концепцию).

Disclosure

OnePlan Компания Limited обязуется оперативно устранять уязвимости. Однако мы признаем, что публичное раскрытие уязвимости при отсутствии готовых корректирующих мер скорее увеличивает, чем снижает риск. Поэтому мы требуем, чтобы вы воздерживались от распространения информации об обнаруженных уязвимостях в течение 90 календарных дней после получения нашего подтверждения вашего сообщения. Если вы считаете, что другим необходимо знать об уязвимости, прежде чем мы примем меры по ее устранению, мы просим вас заранее проконсультироваться с нами.

Мы можем передавать отчеты об уязвимостях Национальному агентству по безопасности информационных систем (ANSSI), а также любым затронутым поставщикам. Мы не будем раскрывать имена или контактные данные исследователей безопасности без явного разрешения.

Вопросы

Вопросы относительно этой политики можно направлять по адресу [электронная почта защищена]. Мы также приглашаем вас связаться с нами с предложениями по улучшению этой политики.

Подписывайтесь на нашу новостную рассылку

Документи

Компания

Адрес в США

1968 г., шоссе С.Кост № 365
Лагуна-Бич, Калифорния 92651

Адрес в Великобритании

Кемп Хаус
152 – 160 Сити Роуд
Лондон, EC1V 2NX
Французский флаг

oneplanevent.fr

Адрес в США

1968 г., шоссе С.Кост № 365
Лагуна-Бич, Калифорния 92651

Адрес в Великобритании

Кемп Хаус
152 – 160 Сити Роуд
Лондон, EC1V 2NX
Партнер AWS
OnePlan является официальным
партнер AWS
Конференция по спортивной аналитике MIT Sloan
Лучший стартап 2023 года
Награды за технологии проведения мероприятий

Лучшая платформа для управления мероприятиями
Лучшая фестивальная технология

Лучшая площадка и операционная технология 2022 года
Лучшая технология управления объектами 2024 г.
© OnePlan 2024. Все права защищены |
Linkedin в Instagram facebook е Youtube
Награды за технологии проведения мероприятий
Лучшая платформа для управления мероприятиями
Лучшая фестивальная технология
Награды за спортивные технологии
Лучшая площадка и операционная технология 2022 года
Главное меню
Главное меню
Главное меню
Главное меню
Главное меню
Главное меню
Главное меню
Главное меню