Политика ответственного разглашения уязвимостей

1.1. Настоящая Политика ответственного разглашения уязвимостей (далее — «Политика») определяет порядок взаимодействия Общества с ограниченной ответственностью «Alcyone Technologies» (далее — «Исполнитель») с физическими и юридическими лицами, выявляющими уязвимости в Сервисе EYWA (далее — «Исследователь», «Сервис»).

1.2. Политика разработана с учётом Закона Республики Узбекистан «Об информатизации», Закона «О кибербезопасности», главы XX¹ Уголовного кодекса Республики Узбекистан о преступлениях в сфере информационной безопасности (статьи 278¹–278⁶), международной практики скоординированного раскрытия уязвимостей (ISO/IEC 29147, ISO/IEC 30111).

1.3. Политика не является публичной офертой в значении статьи 369 Гражданского кодекса Республики Узбекистан и не создаёт обязательств Исполнителя по выплате вознаграждения, за исключением случаев, прямо предусмотренных разделом 7 Политики.

1.4. Добросовестное следование положениям Политики является необходимым условием применения Safe Harbor, описанного в разделе 8.

2.1. Политика распространяется на интернет-доступные системы и продукты, находящиеся в собственности или под управлением Исполнителя:

1) основной домен eywa.uz и принадлежащие Исполнителю поддомены;

2) веб-приложение Сервиса EYWA;

3) публичные API Сервиса EYWA;

4) мобильные клиенты и Telegram-приложение, выпускаемые Исполнителем под торговой маркой EYWA;

5) серверная инфраструктура инференса и служебные интерфейсы, имеющие внешние точки подключения.

2.2. Политика не распространяется на:

1) сторонние сайты, приложения и сервисы, интегрированные с Сервисом через SDK или партнёрские API (в том числе сервисы платёжных провайдеров, поставщиков телекоммуникаций, внешних корпоративных интеграций);

2) системы и инфраструктуру клиентов Исполнителя, управляемые ими самостоятельно в рамках enterprise-развёртывания;

3) инфраструктуру подрядчиков Исполнителя, работающих вне периметра его ответственности;

4) открытые репозитории, опубликованные Исполнителем на условиях соответствующих open-source лицензий.

4.1. Сообщения об уязвимостях направляются на security@eywa.uz. По возможности просим использовать PGP-ключ, опубликованный на странице безопасности.

4.2. Сообщение рекомендуется оформлять в следующей структуре:

1) описание уязвимости и предполагаемого воздействия;

2) пошаговый сценарий воспроизведения (PoC);

3) сведения о затронутом компоненте: URL, версия клиента, идентификатор API-эндпоинта и т.п.;

4) приложения: скриншоты, видеозапись, payload, логи;

5) сведения об Исследователе: имя или псевдоним, контактные данные для обратной связи, желаемая форма благодарности;

6) согласие со сроками координированного раскрытия, предусмотренными разделом 6 Политики.

4.3. При исследовании Исследователь обязан:

1) использовать только те методы, которые необходимы и достаточны для подтверждения уязвимости;

2) воздержаться от воздействий, влекущих недоступность Сервиса или повреждение данных;

3) не взаимодействовать с данными иных пользователей, за исключением минимально необходимого для подтверждения наличия уязвимости;

4) не распространять полученные в ходе исследования данные третьим лицам.

5.1. Исполнитель обязуется:

1) подтвердить получение сообщения в срок не более 3 (трёх) рабочих дней;

2) направить первичную оценку уязвимости и план работ по её устранению в срок не более 10 (десяти) рабочих дней с момента подтверждения получения;

3) информировать Исследователя о ходе устранения и дате закрытия уязвимости;

4) соблюдать конфиденциальность сведений об Исследователе, кроме случаев прямого согласия Исследователя на их публикацию и случаев, предусмотренных законом.

5.2. Уязвимости критической и высокой степени тяжести рассматриваются в приоритетном порядке.

6.1. Исследователь и Исполнитель придерживаются практики скоординированного раскрытия. Исследователь обязуется не раскрывать технические детали уязвимости до её устранения и до согласования с Исполнителем.

6.2. Стандартный срок координации — 90 (девяносто) календарных дней с момента подтверждения получения сообщения. В исключительных случаях срок может быть продлён по взаимному согласию Сторон.

6.3. После устранения уязвимости Исполнитель публикует краткое её описание и, с согласия Исследователя, указывает его вклад в соответствующем разделе сайта.

7.1. Исполнитель стремится поощрять Исследователей, предоставивших значимые сведения об уязвимостях. По решению Исполнителя могут быть применены следующие формы признания:

1) публичная благодарность в разделе безопасности сайта;

2) фирменные подарки;

3) дискреционное денежное вознаграждение.

7.2. Официальная программа денежного вознаграждения (bug bounty) с опубликованными правилами запускается поэтапно. До её запуска любые вознаграждения являются дискреционными и не признаются оплатой услуг Исследователя.

7.3. Вознаграждение не выплачивается в следующих случаях:

1) нарушение Исследователем настоящей Политики или законодательства;

2) сообщение о ранее известной уязвимости (дубликат);

3) уязвимость за пределами области действия Политики (раздел 2, 3);

4) сообщение, не сопровождаемое достаточным PoC.

8.1. Исполнитель обязуется не инициировать гражданско-правовых и иных юридических действий против Исследователя, который добросовестно действовал в рамках настоящей Политики, а также не содействовать таким действиям третьих лиц.

8.2. Добросовестные действия Исследователя, подпадающие под Safe Harbor, Исполнитель не рассматривает как превышение условий законного использования Сервиса.

8.3. Safe Harbor не распространяется на следующие действия:

1) заведомое нарушение законодательства Республики Узбекистан либо законодательства юрисдикции, в которой находится Исследователь;

2) получение, сохранение либо распространение персональных данных иных пользователей, выходящее за пределы минимально необходимого для подтверждения уязвимости;

3) эксплуатация уязвимости с целью получения материальной выгоды, причинения ущерба, вымогательства;

4) проведение атак, направленных на вывод Сервиса из строя;

5) публичное раскрытие уязвимости до согласования с Исполнителем сроков раскрытия.

8.4. При возникновении у Исследователя сомнений в том, подпадает ли его сценарий под Safe Harbor, он вправе предварительно обратиться к Исполнителю по адресу security@eywa.uz до выполнения действий и (или) публичного раскрытия.

9.1. Исполнитель вправе вносить изменения в Политику. Актуальная редакция размещается по адресу https://eywa.uz/legal/responsible-disclosure.

9.2. К сообщениям, поступившим до вступления в силу новой редакции, применяется редакция Политики, действовавшая на момент получения сообщения.

Адрес для сообщений об уязвимостях: security@eywa.uz.

Адрес для общих вопросов: hello@eywa.uz.

Юридическое лицо: Общество с ограниченной ответственностью «Alcyone Technologies», Республика Узбекистан, город Ташкент.