ABAX
Cennik

Polityka ujawniania luk w zabezpieczeniach

Bezpieczeństwo ma najwyższe znaczenie dla ABAX. Z zadowoleniem przyjmujemy opinie od badaczy bezpieczeństwa i społeczeństwa, aby poprawić bezpieczeństwo naszych produktów i usług. Zarząd ABAX bardzo docenia pracę dochodzeniową w zakresie luk bezpieczeństwa i zobowiązujemy się do dokładnego badania i rozwiązywania problemów bezpieczeństwa.

Jeśli uważasz, że odkryłeś lukę w zabezpieczeniach, problem z prywatnością, ujawnione dane lub inne problemy z bezpieczeństwem w którymkolwiek z naszych produktów lub usług, chcemy o tym usłyszeć.

Cel dokumentu

Niniejszy dokument określa proces ujawniania możliwych luk w zabezpieczeniach dotyczących produktów i usług ABAX, a także przedstawia kroki zgłaszania nam luk, czego od Ciebie oczekujemy, czego możesz oczekiwać od nas, a na koniec wyraża uznanie dla osób, które pomogły zabezpieczyć nasze produkty i usługi.

Jeśli uważasz, że znalazłeś lukę w którymkolwiek z naszych produktów lub usług, zgłoś ją zgodnie z wytycznymi określonymi w niniejszym dokumencie.

Prosimy o nieupublicznianie ani nierozpowszechnianie żadnych luk w zabezpieczeniach, dopóki nie zostaniesz powiadomiony, że luka została usunięta. Jeśli wyrazisz zgodę, potwierdzimy Twoje wysiłki w znalezieniu luki w sekcji "Hall of fame" niniejszego dokumentu.

Odbiorcy

Niniejsza polityka jest przeznaczona dla każdego badacza bezpieczeństwa, etycznego hakera lub każdej innej osoby, która uważa, że znalazła lukę w którymkolwiek z produktów lub usług ABAX.

Zakres polityki

Wszelkie możliwe luki lub problemy z bezpieczeństwem dotyczące produktów lub usług ABAX wchodzą w zakres niniejszej polityki. Prosimy nie ujawniać luk związanych z systemami zarządzanymi lub będącymi własnością stron trzecich.

Zasady podstawowe

Badacze/Etyczni hakerzy nie mogą:

  • Dostęp do niepotrzebnych ilości danych. Na przykład 2 lub 3 rekordy wystarczą do zademonstrowania większości luk (takich jak enumeracja lub luka bezpośredniego odniesienia do obiektu).

  • Naruszać prywatności użytkowników, personelu, wykonawców, systemów ABAX itp. Na przykład poprzez udostępnianie, redystrybucję i/lub niewłaściwe zabezpieczanie danych pobranych z naszych systemów.

  • Przekazywać wszelkich luk lub związanych z nimi szczegółów za pomocą metod nieopisanych w niniejszej polityce lub z kimkolwiek innym niż Global IT.

  • Modyfikować ani używać żadnych danych w naszych systemach/usługach, które nie są Twoje.

  • Zakłócać naszych usług i/lub systemów.

  • Ujawniać luk w systemach ABAX stronom trzecim. Nie uniemożliwia to powiadomienia o luce stron trzecich, dla których luka jest bezpośrednio istotna, na przykład gdy zgłaszana luka znajduje się w bibliotece oprogramowania lub frameworku – ale szczegóły dotyczące konkretnej luki ABAX nie mogą być cytowane w takich raportach. Jeśli nie masz pewności co do statusu strony trzeciej, której chcesz wysłać powiadomienie, wyślij e-mail na adres [email protected] w celu uzyskania wyjaśnień.

Badacze/Etyczni hakerzy muszą:

  • Wszystkie pobrane dane są bezpiecznie usuwane, gdy tylko przestają być potrzebne, i maksymalnie 1 miesiąc po rozwiązaniu luki, w zależności od tego, co nastąpi wcześniej.

  • Grać zgodnie z zasadami. Obejmuje to przestrzeganie niniejszej polityki i wszelkich innych odpowiednich umów.

  • Zgłaszać każdą odkrytą lukę niezwłocznie, w ciągu 1 miesiąca od jej odkrycia.

  • Korzystać wyłącznie z oficjalnych kanałów do omawiania informacji o lukach z nami.

  • Przeprowadzać testy wyłącznie na systemach objętych zakresem i szanować systemy i działania, które wykraczają poza zakres.

Jeśli na jakimkolwiek etapie nie masz pewności, czy działania, które zamierzasz podjąć, są akceptowalne, skontaktuj się z nami.

Metody testowania:

Prosimy o powstrzymanie się od używania nieautoryzowanych metod testowania. Metody te obejmują, ale nie ograniczają się do:

  • Testy typu odmowa usługi (DoS lub DDoS) w sieci lub inne testy, które utrudniają dostęp do systemu lub danych, bądź je uszkadzają

  • Testy fizyczne (np. dostęp do biura, otwarte drzwi, „tailgating”), inżynieria społeczna (np. phishing, vishing) lub jakiekolwiek inne nietechniczne testowanie podatności

Kwestie prawne

Niniejsza procedura kontrolna została zaprojektowana w celu zapewnienia zgodności z powszechnie przyjętymi dobrymi praktykami w zakresie odkrywania luk w zabezpieczeniach przez osoby o dobrych intencjach. Nie upoważnia ona do działania w sposób niezgodny z obowiązującymi przepisami prawa ani do naruszania przez ABAX któregokolwiek z jego zobowiązań prawnych.

Jeśli zastosujesz się do wytycznych zawartych w niniejszym dokumencie, nie będziemy podejmować ani wspierać żadnych działań prawnych związanych z zgłoszonymi przez Ciebie lukami w zabezpieczeniach. Jeśli strona trzecia podejmie przeciwko Tobie działania prawne, a Ty zastosowałeś się do niniejszej polityki, podejmiemy kroki, aby poinformować, że Twoje działania były zgodne z tą polityką.

Jeśli masz obawy lub nie jesteś pewien, czy Twoje badania bezpieczeństwa są zgodne z niniejszą polityką, lub chcesz przekazać uwagi lub sugestie dotyczące tej procedury kontrolnej, skontaktuj się z nami pod adresem [email protected], zanim podejmiesz dalsze działania. Niniejsza procedura kontrolna będzie ewoluować w czasie, a Twój wkład będzie cenny, aby zapewnić jej jasność, kompletność i aktualność.

Jak zgłaszać luki w zabezpieczeniach

Jeśli odkryłeś problem, który uważasz za lukę w zabezpieczeniach objętą zakresem, wyślij e-mail na adres [email protected], podając następujące informacje:

  • system lub usługę, w której występuje luka.

  • krótki opis klasy (np. „podatność XSS”) luki w zabezpieczeniach. Na tym etapie prosimy unikać podawania szczegółów, które mogłyby umożliwić odtworzenie problemu. Szczegóły zostaną poproszone później, za pośrednictwem zaszyfrowanej komunikacji.

  • potencjalny wpływ eksploitacji.

Raporty powinny być napisane w sposób jasny i prosty. I, jeśli to możliwe, w języku angielskim.

Następnie poprosimy zgłaszających o dostarczenie, w miarę możliwości, łagodnego (tj. nieniszczącego) dowodu eksploitacji. Pomaga to zapewnić szybkie i dokładne sortowanie raportu, jednocześnie zmniejszając prawdopodobieństwo powielania raportów i/lub złośliwej eksploatacji dla niektórych klas luk. Upewnij się, że nie wysyłasz dowodu eksploitacji w postaci jawnego tekstu za pośrednictwem poczty e-mail, jeśli luka jest nadal możliwa do wykorzystania. Upewnij się również, że wszystkie dowody eksploitacji są zgodne z naszymi wytycznymi (powyżej); w razie wątpliwości prosimy o kontakt e-mailowy pod adresem [email protected] w celu uzyskania porady.

Prosimy o dokładne zapoznanie się z niniejszym dokumentem przed zgłoszeniem jakichkolwiek luk w zabezpieczeniach, aby upewnić się, że rozumiesz procedurę i możesz działać zgodnie z nią.

Szyfrowanie PGP

Aby zapobiec dostaniu się krytycznych informacji w niepowołane ręce, chcielibyśmy, na życzenie, abyś wysłał konkretne informacje dotyczące luki w zabezpieczeniach za pośrednictwem zaszyfrowanej poczty e-mail. Poprosimy Cię o stworzenie szczegółowego opisu kroków potrzebnych do odtworzenia luki (pomocne są skrypty proof of concept lub zrzuty ekranu).

Nasz publiczny klucz szyfrowania znajdziesz tutaj: www.abax.com/pgp-key.txt.

Czego oczekiwać od ABAX

W odpowiedzi na Twój początkowy e-mail do [email protected] otrzymasz potwierdzenie odbioru z systemu zarządzania sprawami.

Po pierwszym kontakcie wewnętrzny zespół bezpieczeństwa zajmie się sortowaniem zgłoszonej luki. Możesz spodziewać się odpowiedzi w ciągu 72 godzin, zawierającej naszą ocenę raportu i potwierdzenie, czy wymagane są dalsze informacje. Wszelkie wymagane dalsze informacje zostaną przesłane za pomocą szyfrowania OpenPGP (nasz publiczny klucz szyfrowania jest umieszczony w wyżej wymienionym polu)

Od tego momentu niezbędne prace naprawcze zostaną przydzielone odpowiednim zespołom IT i/lub dostawcom. Priorytet dla poprawek błędów i/lub środków łagodzących zostanie przypisany na podstawie wagi wpływu i złożoności eksploitacji. Raporty o lukach mogą wymagać czasu na sortowanie i/lub naprawę; możesz zapytać o status procesu, ale prosimy o cierpliwość.

Nasz Zespół Bezpieczeństwa powiadomi Cię, gdy zgłoszona luka zostanie rozwiązana (lub zaplanowano prace naprawcze) i poprosi o potwierdzenie, że rozwiązanie odpowiednio pokrywa lukę. Zaoferujemy Ci możliwość przekazania nam informacji zwrotnych na temat procesu zgłaszania, a także rozwiązania luki. Informacje te zostaną wykorzystane w ścisłej tajemnicy, aby pomóc nam ulepszyć sposób, w jaki obsługujemy raporty i/lub rozwijamy systemy i rozwiązujemy luki.

Jeśli nie zgadzasz się z tymi warunkami, prosimy o nieprzesyłanie nam żadnych zgłoszeń ani w inny sposób nieuczestniczenie w tym programie.

Galeria sław

Galeria sław to miejsce, w którym znajdują się wszystkie osoby, które pomogły zabezpieczyć nasze produkty i usługi (opublikowane za ich zgodą).

Możesz otrzymać publiczne uznanie, jeśli jako pierwszy zgłosisz lukę, luka jest prawidłowym problemem bezpieczeństwa i przestrzegasz tych wytycznych.

Niestety, ze względu na wewnętrzne ograniczenia, obecnie nie jesteśmy w stanie zaoferować płatnego programu bug bounty. Zarząd ABAX chciałby jednak serdecznie podziękować tym, którzy poświęcają swój czas i wysiłek na badanie i zgłaszanie nam luk w zabezpieczeniach zgodnie z tą procedurą kontroli.

Dziękujemy za Twój wysiłek.

Find all you need to know about sustainability and governance in ABAX

Go to ESG resources