Політика розкриття вразливостей

Повідомлення про проблеми

Ми дуже серйозно ставимося до інцидентів безпеки. Якщо ви виявили вразливість або будь-яке потенційне порушення безпеки, будь ласка, повідомте нас. Надішліть електронний лист на [email protected] із якомога більшою кількістю інформації. Хтось із нашої команди зв’яжеться з вами якомога швидше.

Програма Bug Bounty від Selzy

Ми вітаємо дослідників безпеки, які практикують відповідальне розкриття інформації та дотримуються наших політик. Програма винагороди за виявлені помилки та вразливості від Selzy визнає зусилля таких дослідників і винагороджує їх. Щоб мати можливість отримати винагороду за нашою програмою винагород за виявлені помилки та вразливості, ви повинні дотримуватися наведених нижче умов.

Основні правила

Окрім дотримання наших Правил користування сервісом Selzy та будь-яких інших застосовних умов і положень, вам також потрібно дотримуватися цих основних правил, під час участі в нашій програмі винагороди за виявлені помилки та вразливості:

• Не отримуйте доступ (або не намагайтеся отримати доступ) до будь-якого облікового запису користувача чи закритих даних.
• Не впливайте та не завдавайте шкоди іншим користувачам (або їхньому доступу до наших сервісів чи користування ними).
• Не виконуйте будь-яких атак, які можуть завдати шкоди надійності чи цілісності наших сервісів або даних. Наприклад, DDoS/спам-атаки суворо заборонені.
• Не розкривайте публічно виявлені вразливості, доки ми їх не вирішимо.
• Не виконуйте (або не намагайтеся) нетехнічні атаки, включаючи спам, соціальну інженерію, фішинг або фізичні атаки на наших співробітників, користувачів або інфраструктуру.

Які види звітів не відповідають вимогам програми?

Нижче наведено список звітів, який не є вичерпним, які не претендують на винагороду за нашою програмою винагороди за виявлені помилки:

• Проблеми, пов’язані з програмним забезпеченням або протоколами, які не знаходяться під нашим контролем, такі як домени чи програми або додатки, які схожі на Selzy, або використовують один із наших API, але не керуються Selzy.
• Розкриття публічної інформації або інформації, яка, на нашу думку, не становить значної загрози.
• Розкриття ідентифікаторів клієнтів і ключів призначених для зручності учасників програмного забезпечення з відкритим кодом.
• Розкриття облікових даних іншими сторонами, не пов’язаними з Selzy.
• Помилки, такі як XSS, які впливають лише на застарілі версії веб-браузерів/плагінів, помилки, які вимагають надзвичайно малоймовірної активності або взаємодії користувача, або атаки за часом, які підтверджують, наприклад, існування користувача.
• Файли cookie, які використовуються між різними доменами *.Selzy.com.
• Помилки та вразливості, про які нам уже повідомили (перевага першого повідомлення), або помилки, про які ми вже знаємо.
• Створення сценаріїв або інша автоматизація та грубий підбір функцій (все це суворо заборонено).

 
Зверніть увагу, що хоча ми раді отримати інформацію про недотримання найкращих практик, такі проблеми та помилки не є вразливостями, якщо вони не впливають на конфіденційність, цілісність та/або доступність. Такі проблеми також не призведуть до отримання грошової винагороди.

Винагорода

Ми можемо виплачувати грошову винагороду за повідомлені проблеми, які ми вирішимо виправити та можемо збільшити винагороду за явно творчий підхід або серйозні виявлені проблеми безпеки. Проблеми, які ми визначаємо як незначні або прийнятні ризики, не будуть підлягати винагороді. Сума винагороди буде залежати від серйозності проблеми та коливатиметься у грошовому еквіваленті від 25 до 500 доларів США.
Зверніть увагу, що лише звіти, надіслані на [email protected], матимуть право на винагороду за нашою програмою винагород за виявлені помилки.

Перевірка статусу звітів або винагород

Ми невелика та дуже зайнята команда розробників, і ми отримуємо багато електронних листів. Будь ласка, не надсилайте нам численні або повторні електронні листи з одними і тими самими запитаннями про надіслані звіти чи статус потенційних винагород. Це не прискорить процес і може призвести до сповільнення відповіді через додаткове навантаження на нашу електронну скриньку. Ми цінуємо ваше терпіння.
Також майте на увазі, що повторне надсилання запитів із некваліфікованого списку звітів, які не відповідають вимогам програми, може призвести до того, що ви не отримаєте відповіді.

Деякі юридичні умови

Наша програма Bug Bounty від Selzy не є змаганням чи конкурсом. Це експериментальна та дискреційна програма винагород. Ми можемо змінити умови цієї програми або припинити дію програми в будь-який час без попередження. Усі рішення щодо суми та типу винагороди, які можуть бути надані, методу виплати (для грошової винагороди), а також того, чи будь-яка повідомлена проблема становить значний ризик та чи має право на винагороду, визначатиметься на власний розсуд компанією Selzy в кожному окремому випадку. Зазвичай ми видаємо грошові винагороди через Paypal або інший подібний сервіс на наш розсуд і вимагаємо ваше повне ім’я та відповідну контактну інформацію. Ви несете відповідальність за будь-які податкові наслідки будь-якої отриманої винагороди і повинні дотримуватися всіх податкових законів, застосовних до будь-якої винагороди, яку ми можемо надати вам. Ми не можемо надавати винагороду особам, які входять до санкційних списків або знаходяться в країнах (наприклад, Росія, Куба, Іран, Північна Корея, Судан або Сирія), які входять до санкційних списків. Ви повинні дотримуватися всіх чинних місцевих, державних, національних і міжнародних законів, правил і норм, пов’язаних із вашою участю в цій програмі. Ваша участь у цій програмі не повинна порушувати чи компрометувати будь-які дані, які вам не належать.