Atbildīga ievainojamību atklāšanas politika
Kiwa uzskata savu informācijas un saziņas tehnoloģiju (ICT) sistēmu un mājaslapu drošību par ārkārtīgi svarīgu. Tādēļ, mēs cenšamies nodrošināt visaugstākā līmeņa drošību. Neskatoties uz īpašu rūpību, ar kuru mēs izturamies pret ICT drošību, tajā tomēr var palikt ievainojamības. Mēs lūdzam Jūs neizmantot šīs ievainojamības ļaunprātīgi, bet ziņot par tām, lai mēs varētu veikt vajadzīgos pasākumus.
Esat atradis ievainojamību mūsu mājaslapās, vai kādā no mūsu citām (tiešsaistes) sistēmām? Lūdzu ziņojiet par Jūsu atklājumu cik ātri vien iespējams.
Mēs gribētu strādāt ar Jums kopā, lai labāk aizsargātu mūsu sistēmas un novērstu ievainojamības visīsākajā laikā. Neskatoties uz augšminēto, mūsu atbildīgas ievainojamību atklāšanas politika nevar tikt uzskatīta par aicinājumu aktīvi meklēt vājības mūsu uzņēmuma tīklā.
Iesniegt informāciju par ievainojamību
Sazinieties ar mums pa e-pastu, ja atrodat ievainojamību. Lūdzu turiet prātā šo informāciju:
Sazinieties ar mums pa e-pastu, ja atrodat ievainojamību. Lūdzu turiet prātā šo informāciju:
- Ziņojiet par ievainojamībām tik ātri, cik tas ir iespējams, sūtot e-pastu uz responsibledisclosure@kiwa.nl.
- dodiet mums pietiekami daudz informācijas, lai mēs varētu reproducēt ievainojamību, kas ļaus mums to atrisināt iespējami īsākā laikā. vairumā gadījumu pietiks ar ietekmētas sistēmas IP adresi (vai URL) un ievainojamības aprakstu, lai gan sarežģītu ievainojamību gadījumos var būt nepieciešams sniegt vairāk informācijas.
- Iekļaujiet Jūsu kontaktinformāciju (e-pasta adresi vai tālruņa numuru), lai mēs varētu ar Jums sazināties.
- Nedodiet citām personām informāciju par ievainojamību pirms tās novēršanas.
- Izturaties atbildīgi par Jūsu zināšanām par ievainojamību. Neveiciet nekādas papildus darbības, kuras nav vajadzīgas, lai nodemonstrētu ievainojamību.
Vai Jūsu ziņojums atbilst šiem nosacījumiem? Tad jūsu rīcībai nebūs nekādu juridisko vai tiesisko seku.
Neizmantojiet drošības vājību ļaunprātīgi
Ja Jūs atklāsiet vājību, neizmantojiet to ļaunprātīgi, piemēram:
Ja Jūs atklāsiet vājību, neizmantojiet to ļaunprātīgi, piemēram:
- instalējot kaitīgu programmatūru;
- kopējot, modificējot vai dzešot datus sistēmā, vai radot direktoriju sarakstu;
- veicot izmaiņas sistēmā;
- vairakkārt piekļūstot sistēmai vai dodot piekļuvi citām personām;
- virzoties sāniski vai dziļāk mūsu sistēmās;
- iegūstot piekļuvi mūsu sistēmām caur pārlases uzbrukumiem (brute force attack);
- izmantojot pakalpojuma atteikumus (DoS) vai sociālo inženieriju.
Ka mēs rīkosimies ar Jūsu ziņojumu?
Vai Jūs ziņojat par ievainojamību vienā no mūsu ICT sistēmām vai mājaslapām? Mēs rīkosimies ar Jūsu ziņojumu šādi:
Vai Jūs ziņojat par ievainojamību vienā no mūsu ICT sistēmām vai mājaslapām? Mēs rīkosimies ar Jūsu ziņojumu šādi:
- Jūs saņemsiet apstiprinājumu par ziņojuma saņemšanu vienas darba dienas laikā.
- Mēs atbildēsim uz Jūsu ziņojumu piecu darba dienu laikā. Mūsu atbilde saturēs Jūsu ziņojuma novērtējumu un informāciju par prognozējamo ievainojamības novēršanas laiku.
- Mēs informēsim Jūs par progresu problēmas atrisināšanā.
- Mēs izturēsimies pret Jūsu ziņojumu konfidenciāli un nenodosim Jūsu personas datus trēšām personām bez Jūsu atļaujas (izņemot tiesību aktos paredzētus gadījumus vai tiesas rīkojumus).
Ievainojamības atrisināšana
Mēs atrisināsim ziņotas drošības problēmas tik ātri, cik tas ir iespējams, bet ilgāk kā 60 dienu laikā. Kopā ar Jums (ziņotāju), mēs izlemsim vai un kā ziņot par problēmu. Ziņas par problēmu mēs dosim tikai pēc tās novēršanas.
Visbeidzot
Kiwa var veikt izmaiņas atbildīgas ievainojamību atklāšanas politikā ja ir iemesls to darīt. Politikas aktuālā versija būs vienmēr pieejama šajā lapā.
Kiwa var veikt izmaiņas atbildīgas ievainojamību atklāšanas politikā ja ir iemesls to darīt. Politikas aktuālā versija būs vienmēr pieejama šajā lapā.
Rijsvīka, Nīderlande, 2018. gada decembris.