Политика раскрытия информации об уязвимостях программного обеспечения

Вступление

Данная политика раскрытия информации об уязвимостях распространяется на все уязвимости, о которых вы собираетесь сообщить компании Trust International B.V.
Прежде чем сообщать об уязвимости, рекомендуем полностью ознакомиться с этой политикой и обязательно ее соблюдать. Время и усилия всех тех, кто сообщает об уязвимостях безопасности в соответствии с настоящей политикой, очень ценны для нас, однако мы не гарантируем денежного вознаграждения за раскрытие информации об уязвимостях.

Сообщения

Обнаружив возможную уязвимость безопасности, отправьте отчет по адресу электронной почты: recall@trust.com

Просим указать в отчете указанную ниже информацию:

  • Актив (веб-адрес, IP-адрес, название продукта или услуги), в котором можно обнаружить уязвимость.
  • Название уязвимости.
  • Описание уязвимости (должно содержать краткое изложение, вспомогательные файлы, а также возможные меры по смягчению последствий или рекомендации).
  • Воздействие (что может сделать злоумышленник?).
  • Действия по воспроизведению. Должны заключаться в безопасном и неразрушающем доказательстве концепции. Это позволяет быстро и точно обрабатывать отчет, а также снижает вероятность дублирования отчетов или злонамеренного использования некоторых уязвимостей, таких как захват поддоменов.

Ожидания

После получения отчета мы ответим в течение 5 рабочих дней и постараемся рассмотреть его в течение 10 рабочих дней, а также будем держать вас в курсе хода работ.

Приоритет исправления определяется на основе влияния, серьезности и сложности эксплойта. Обработка и рассмотрение отчетов об уязвимостях может занять некоторое время. Чтобы узнать о статусе рассмотрения, обращайтесь к нам не чаще одного раза в 14 дней. Тогда наши команды смогут сосредоточиться на решении проблемы.

Мы сообщим об устранении уязвимости и, возможно, предложим вам подтвердить адекватность нашего решения.

После устранения уязвимости приветствуются запросы на раскрытие информации о вашем отчете. Мы стремимся унифицировать руководство для пострадавших пользователей, поэтому просим вас продолжать сотрудничество по поводу публикации.

Руководство

ЗАПРЕЩЕНО:

  • Нарушать какие-либо применимые законы или нормативные акты.
  • Осуществлять доступ к ненужным, чрезмерным или значительным объемам данных.
  • Изменять данные в системах или службах Организации.
  • Использовать высокоинтенсивные инвазивные или разрушительные инструменты сканирования для поиска уязвимостей.
  • Сообщать об отказе в обслуживании в любой форме или пытаться о таком сообщить (например, перегружать службу большим количеством запросов).
  • Нарушать работу служб или систем Организации.

Раскрытие информации

Перед раскрытием информации мы выполним указанное ниже (по мере необходимости).

  • Проверим и оценим отчет о найденной проблеме.
  • Сообщим о сроках смягчения последствий (если необходимо) и раскрытия информации (если применимо) (мы можем запросить продление периода эмбарго).
  • Свяжемся с другими сторонами в рамках многостороннего скоординированного раскрытия информации.
  • Получим идентификатор (-ы) общего перечня уязвимостей (Common Vulnerability Enumeration, CVE) для отслеживания.
  • Обсудим с вами стратегию устранения уязвимости.
  • При необходимости опубликуем раскрытие информации на веб-сайте www.trust.com

Договоры с покупателями и соображения правового порядка

Права покупателей в отношении гарантий, поддержки и технического обслуживания продукции или услуг компании Trust International B.V. регулируются исключительно нашими «Стандартными положениями и условиями продажи» наряду с любыми другими применимыми соглашениями между компанией Trust International B.V. и каждым покупателем.

Никакие положения данного документа не меняют и не расширяют существующих прав покупателей, а также не создают никаких новых гарантий, явно выраженных или подразумеваемых. Вся информация, предоставленная компании Trust International B.V. в связи с потенциальными уязвимостями (в том числе сведения из отчета об уязвимостях), переходит в исключительную собственность Trust International B.V. и может использоваться на усмотрение компании без обязательств по компенсации или зачислению средств в пользу предоставившей ее стороны.