Политика за отговорно разкриване на информация

Като компания за киберсигурност, TAD GROUP напълно разбира и оценява рисковете, пред които са изправени клиентите ни в случай на открита уязвимост в наш продукт. Следователно е изцяло наша отговорност да установим възможно най-бързо уязвимости, открити в нашите проекти, услуги или продукти. Докато проблемът не бъде решен, TAD GROUP ще остане в постоянен контакт с докладващия за проблема.

Етапи


Нашата политика за отговорно разкриване на информация се състои от няколко етапа, изпълнявани в последователността в която са описани:

6ee1c6e70b092cd23b19f854229133fa (3)

Етап 1: Оповестяване и оценка на риска

След като бъдем уведомени за наличието на уязвимост, засягаща някой от нашите продукти или услуги, ние веднага ще реагираме и ще се насочим информацията към нашия екип за спешно реагиране (ERT). Уязвимостта ще бъде класифицирана и нейният обхват и риск ще бъдат оценени според спецификацията CVSS3. Това ще ни даде ясна представа за въздействието, което уязвимостта може да има, и колко от нашите клиенти могат да бъдат засегнати от нея.

Етап 2: Отстраняване на уязвимостта

Когато уязвимостта бъде потвърдена, ще бъде публикуван спешен ъпдейт и в зависимост от сериозността на уязвимостта, може да предизвика автоматична актуализация на внедрените системи на нашите клиенти. Ако уязвимостта засяга продукт с отворен код на TAD GROUP, решението на проблема ще бъде достъпно за обществеността.

Нашият гратисен период е минималното време, което ще ни отнеме, за да се справим с инцидента и бихме искали любезно лицата, които открият уязвимост, да ни предоставят необходимото време за справяне със ситуацията. Издаването на подобрена и сигурно версия на продукт ще се случи в рамките на първите 30 дни, след като уязвимостта бъде приета от екипа на TAD GROUP за спешно реагиране.

Етап 3: Потвърждение

Оценяваме усилията на всяко лице, избрало да следва нашата политика за отговорно разкриване на информация и го направи по отговорен начин, който няма да засегне нашите клиенти. Нашата "Стена на славата" изрично посочва имената, псевдонимите или инициалите на лицето разкрило информацията пред нас. Ако предпочитате да не сте публично оповестени на нашия уеб сайт, моля, уведомете ни за това в рамките на процеса.

Насоки за отговорно разкриване на информация


  • Избягвайте нарушенията на поверителността и споделянето на поверителна информация;
  • Позволете до 30 дни, съгласно нашата политика за отговорно разкриване на информацията, за потвърждението и отстраняването на уязвимостта;
  • Представете описание на уязвимостта, придружена от засегнатите услуги / адреси / продукти, както и вектора на атака. Адресирайте тази информация към нашия екип на имейл security [at] tadgroup.com

Извън обхвата


Ако уязвимостта е от една от следните категории, то тя няма да бъде приета като такава:

  • Информация за използван софтуер, версии и други публични компоненти на нашата инфраструктура.
  • Достъпност до публични файлове (например robots.txt).
  • Уязвимости от тип "clickjacking" освен в случаите когато може да се докаже, че позволява да се извърши конкретна реална атака с измеримо въздействие върху сигурността.
  • Уязвимости, асоциирани със социално инженерство.
  • Липса на токени против CSRF атаки срещу публично достъпни форми (например контактни форми).
  • Уязвимости от тип "content spoofing" (например посредством манипулация на MIME тип).
  • Липса на флагове за сигурност на бисквитки, които не се използват за аутентикация.
  • Атаки насочени към изразходване на ресурси или липса на лимитация (например DoS).
  • Уязвимости, за които вече е обърнато внимание при актуализацията на продукта, независимо дали актуализацията е приложена към публично достъпните инсталации.

 

Оценяваме и спазваме политиките за отговорно разкриване на информация на други компании, когато провеждаме тестове за проникване и оценки на сигурността, и очакваме лицата, които открият уязвимост да се придържат към нашата политика.

Стена на славата


< Не са докладвани уязвимости на този етап >