Введение

В LayerX Security мы высоко ценим усилия исследователей безопасности и общественности, которые помогают нам повысить наши стандарты безопасности. Если вы обнаружили уязвимость, проблему конфиденциальности, раскрытие данных или любые другие угрозы безопасности в наших активах, мы рекомендуем вам как можно скорее связаться с нами. Эта политика предназначена для определения шагов по сообщению об уязвимостях, наших ожиданий и того, что вы можете ожидать взамен.

Объем

Эта политика распространяется на все цифровые активы, которыми владеет, управляет или поддерживает LayerX Security. Сюда входят экземпляры продукта LayerX Security, на тестирование которых у вас есть однозначное разрешение.

Наши обязательства

Когда вы сотрудничаете с нами в соответствии с положениями настоящей политики, мы обязуемся:

  • Быстро реагируйте на ваш отчет и сотрудничайте, чтобы понять и подтвердить ваши выводы.
  • Старайтесь регулярно держать вас в курсе хода работы над вашим отчетом.
  • Реагируйте на выявленные уязвимости своевременно, в соответствии с нашими операционными ограничениями.
  • Предоставьте Safe Harbor, как подробно описано ниже, в отношении вашего исследования уязвимостей, связанного с этой политикой.

Наши ожидания

  • Придерживайтесь руководящих принципов, включая соблюдение настоящей политики и любых других соответствующих соглашений. Данная политика имеет преимущественную силу в случае возникновения каких-либо расхождений с другими применимыми условиями.
  • Мы просим участников нашей программы раскрытия уязвимостей:
    • Оперативно сообщать о любых обнаруженных уязвимостях.
    • Воздерживайтесь от посягательств на конфиденциальность других лиц, нарушения работы наших систем, уничтожения данных или негативного влияния на работу пользователей.
  • Для обсуждения информации об уязвимостях используйте только официальные каналы, подробно описанные ниже.
  • Сохраняйте конфиденциальность в отношении любых обнаруженных уязвимостей в соответствии с нашей Политикой раскрытия информации, о которой говорится ниже.
  • Ограничьте тестирование исключительно системами, входящими в его объем, и уважайте системы и действия, выходящие за его рамки.
  • Если уязвимость обеспечивает непреднамеренный доступ к данным, получите доступ к наименьшему количеству данных, необходимых для демонстрации концепции. Прекратите тестирование и немедленно сообщите об этом, как только встретите какие-либо пользовательские данные.
  • Взаимодействуйте только со своими тестовыми учетными записями или с явным разрешением владельца учетной записи.
  • Воздерживайтесь от любых форм вымогательства.

Официальные каналы

В случае возникновения каких-либо проблем с безопасностью сообщите о них по адресу [электронная почта защищена], со всей соответствующей информацией. Чем подробнее ваш отчет, тем легче нам будет проверить и устранить проблему.

Раскрытие политики

Наша текущая политика раскрытия информации носит дискреционный характер. Исследователи должны получить разрешение на публичное распространение подробностей об уязвимости. LayerX Security должен предоставить явное одобрение, прежде чем такая информация может быть раскрыта.

Safe Harbor

Мы рассматриваем любое исследование уязвимостей в рамках этой политики как:

  • Законны и соответствуют всем применимым законам о борьбе с хакерством, и мы не будем инициировать или поддерживать судебные иски за непреднамеренные добросовестные нарушения этой политики.
  • Разрешено в соответствии с любыми применимыми законами о борьбе с обходом, поэтому мы вряд ли будем предъявлять вам претензии за обход контроля над технологиями.
  • Освобождаемся от ограничений, предусмотренных разделом 3(vii) Условий и положений LayerX Security (или Лицензионного соглашения, если применимо), и мы отказываемся от этих ограничений на ограниченной основе.
  • Законно, способствует общей безопасности в Интернете и выполняется добросовестно.

Мы всегда ожидаем от вас соблюдения всех применимых законов. В случае, если третья сторона возбудит против вас судебный иск и вы примете меры, чтобы подтвердить, что ваши действия соответствуют этой политике. Если вы обеспокоены или не уверены в том, соответствует ли ваше исследование безопасности этой политике в любой момент времени, пожалуйста, отправьте отчет через один из наших официальных каналов, прежде чем продолжить.