Atbildīga ievainojamību atklāšanas politika
Kiwa ir ārkārtīgi svarīga informācijas un saziņas tehnoloģiju (ICT) sistēma un mājaslapu drošība. Tādēļ mēs cenšamies nodrošināt augstākā līmeņa drošību. Neskatoties uz īpašu rūpību, ar kādu mēs izturamies pret ICT drošību, tajā tomēr var palikt ievainojamības. Mēs lūdzam neizmantot šīs ievainojamības ļaunprātīgi, bet gan ziņot par tām, lai mēs varētu veikt nepieciešamos pasākumus.
Esat atradis ievainojamību mūsu mājaslapās, vai kādā citā no mūsu tiešsaistes sistēmām? Lūdzu nekavējoties informējiet mūs!
Mēs vēlamies sadarboties, lai labāk aizsargātu sistēmas un novērstu ievainojamības iespējami ātri. Neskatoties uz augšminēto, mūsu atbildīgas ievainojamību atklāšanas politika nevar tikt uzskatīta par aicinājumu aktīvi meklēt vājās vietas mūsu uzņēmuma tīklā.
Iesniegt informāciju par ievainojamību
Sazinieties ar mums pa e-pastu, ja atrodat ievainojamību. Lūdzam ņemt vērā sekojošo:
Sazinieties ar mums pa e-pastu, ja atrodat ievainojamību. Lūdzam ņemt vērā sekojošo:
- Ziņojiet par ievainojamībām iespējami ātri, sūtot e-pastu uz responsibledisclosure@kiwa.nl.
- Dodiet mums pietiekami daudz informācijas, lai mēs varētu reproducēt ievainojamību, kas ļaus mums to atrisināt iespējami īsākā laikā. Vairumā gadījumu pietiks ar ietekmētās sistēmas IP adresi (vai URL) un ievainojamības aprakstu, lai gan sarežģītu ievainojamību gadījumos var būt nepieciešams sniegt vairāk informācijas.
- Iekļaujiet jūsu kontaktinformāciju (e-pasta adresi vai tālruņa numuru), lai mēs varētu ar jums sazināties.
- Nesniedziet citām personām informāciju par ievainojamību pirms tās novēršanas.
- Izturaties atbildīgi par Jums zināmo ievainojamību. Neveiciet nekādas papildu darbības, kas nav nepieciešamas, lai nodemonstrētu ievainojamību.
Ja jūsu ziņojums atbilst šiem nosacījumiem, jūsu rīcībai nebūs nekādu juridisko vai tiesisko seku.
Neizmantojiet drošības vājo vietu ļaunprātīgi
Ja atklāsiet vājību, neizmantojiet to ļaunprātīgi, piemēram:
Ja atklāsiet vājību, neizmantojiet to ļaunprātīgi, piemēram:
- instalējot kaitīgu programmatūru;
- kopējot, modificējot vai dzēšot datus sistēmā, vai radot direktoriju sarakstu;
- veicot izmaiņas sistēmā;
- atkārtoti piekļūstot sistēmai vai dodot piekļuvi citām personām;
- virzoties plašāk vai dziļāk mūsu sistēmās;
- iegūstot piekļuvi mūsu sistēmām caur pārlases uzbrukumiem (brute force attack);
- izmantojot pakalpojuma atteikumus (DoS) vai sociālo inženieriju.
Mūsu rīcība ar Jūsu ziņojumu?
Jūs ziņojat par ievainojamību vienā no mūsu ICT sistēmām vai mājaslapām? Mēs rīkosimies ar ziņojumu šādi:
Jūs ziņojat par ievainojamību vienā no mūsu ICT sistēmām vai mājaslapām? Mēs rīkosimies ar ziņojumu šādi:
- Jūs saņemsiet apstiprinājumu par ziņojuma saņemšanu vienas darba dienas laikā.
- Mēs atbildēsim uz jūsu ziņojumu piecu darba dienu laikā. Mūsu atbilde saturēs jūsu ziņojuma novērtējumu un informāciju par prognozējamo ievainojamības novēršanas laiku.
- Mēs jūs informēsim par progresu problēmas atrisināšanā.
- Mēs izturēsimies pret jūsu ziņojumu konfidenciāli un nenodosim jūsu personas datus trešajām personām bez jūsu piekrišanas (izņemot tiesību aktos paredzētus gadījumus vai tiesas rīkojumus).
Ievainojamības atrisināšana
Mēs atrisināsim ziņotas drošības problēmas tik ātri, cik tas ir iespējams, bet ne ilgāk kā 60 dienu laikā. Kopā ar jums mēs izlemsim, vai un kā ziņot par problēmu. Mēs informēsim par problēmu tikai pēc tās novēršanas.
Noslēgumā
Kiwa tiesīga veikt izmaiņas atbildīgas ievainojamību atklāšanas politikā, ja ir pamatots iemesls to darīt. Politikas aktuālā versija būs vienmēr pieejama šajā lapā.
Kiwa tiesīga veikt izmaiņas atbildīgas ievainojamību atklāšanas politikā, ja ir pamatots iemesls to darīt. Politikas aktuālā versija būs vienmēr pieejama šajā lapā.
Rijsvīka, Nīderlande, 2018. gada decembris.