Политика ответственного раскрытия информации

В компании DFDS мы серьезно относимся к вопросам безопасности. В этом документе кратко излагаются процедуры обеспечения безопасности и общие принципы раскрытия информации об уязвимых с точки зрения безопасности местах. Если вы рассматриваете возможность сообщить нам («Организации») о таком месте в системе, мы рекомендуем перед этим прочесть полный текст Политики ответственного раскрытия информации.

Мы ценим время и усилия, которые люди вкладывают, чтобы сообщить нам об уязвимых местах в системе согласно положениям этой политики, однако обращаем ваше внимание на то, что за это мы не предлагаем денежного вознаграждения.

Если вы считаете, что обнаружили уязвимое с точки зрения безопасности место в системе, просим направить нам отчет на эл. почту: security@dfds.com.

В отчете необходимо указать следующие сведения:

• Веб-сайт, репозиторий Git, IP или страница, где можно наблюдать соответствующее уязвимое место.

• Краткое описание типа уязвимого места (например, «Проблема с межсайтовым скриптингом»).

• Пошаговое воспроизведение сообщаемой информации.

Убедитесь, что ваши тесты являются безопасными, неразрушающими или служат доказательством концепции.

Эта информация помогает обеспечить быстрое и точное рассмотрение отчета.

После подачи отчета мы ответим в течение 5 рабочих дней и постараемся рассмотреть ваш отчет в течение 15 рабочих дней. Мы будем держать вас в курсе того, как продвигается работа. Приоритет для исправления оценивается на основе степени влияния, серьезности и сложности эксплойта. Вы можете запросить информацию о статусе, но просим не делать это чаще чем раз в 14 дней, чтобы наши сотрудники могли сконцентрироваться на исправлении.

Мы сообщим, когда заявленное вами уязвимое место будет устранено. Вас могут попросить подтвердить, что найденное решение адекватно компенсирует уязвимое место. После устранения соответствующего уязвимого места мы будем охотно принимать запросы на раскрытие вашего отчета. Мы стремимся унифицировать руководящие указания для затронутых пользователей, поэтому просим продолжать координировать с нами публикации в открытых источниках.

ЗАПРЕЩАЕТСЯ:

• Нарушать какие-либо применимые законы или правила.

• Получать доступ к ненужным, чрезмерным или существенным объемам данных.

• Изменять данные в системах или сервисах Организации.

• Использовать высокоинтенсивные агрессивные или разрушительные инструменты сканирования для поиска уязвимых мест.

• Предпринимать попытки сообщить или сообщать о любой форме отказа сервиса, например, в случае подачи чрезмерного количества запросов.

• Нарушать работу сервисов и систем Организации.