Atbildīga ievainojamību atklāšanas politika

1. Mērķi

1.1. VAS “Latvijas Loto” atbildīgas ievainojamību atklāšanas politikas mērķis ir noteikt prasības IT drošības nepilnību atklāšanas labajai praksei un aicināt drošības pētniekus (vai citas personas, kas ir identificējušas ievainojamību) ziņot par ievainojamībām VAS “Latvijas Loto” piederošos domēnos.

1.2. VAS “Latvijas Loto” atbildīgas ievainojamību atklāšanas politika attiecas uz ikvienu drošības pētnieku (vai personām, kas ir identificējušas ievainojamību), kas var sniegt informāciju par ievainojamību vai nepilnību esamību VAS “Latvijas Loto” piederošos domēnos.

1.3. VAS “Latvijas Loto” atbildīgas ievainojamību atklāšanas politika paredzēta šādām personu grupām – drošības pētnieki vai citas personas, kas identificējušas ievainojamību.

2. Atbildīgas ievainojamību vai nepilnību ziņošanas vadlīnijas

2.1. Konstatēto ievainojamību vai nepilnību nedrīkst publiskot bez VAS “Latvijas Loto” atbildīgo darbinieku iepriekšēja apstiprinājuma.

2.2. Izskatot iesniegto ziņojumu, tiks ņemta vērā ziņojuma oriģinalitāte, kvalitāte un saturs. Ikvienam, kas sniedz ziņojumu, nepieciešams pārliecinieties, ka ziņojumā ir skaidri izskaidrota problēmas ietekme un izmantojamība ar detalizētu pierādījumu aprakstu.

2.3. Ziņojuma iesniedzējam nepieciešams pārliecinieties, ka jebkādu informāciju, piemēram, videoklipu, skriptu utt., nevar augšupielādēt nevienā trešās puses vietnē un tā ir tieši jāpievieno e-pasta ziņojumā, kuru nododat VAS “Latvijas Loto” izskatīšanai.

2.4. VAS “Latvijas Loto” ir tiesīgs lūgt un ziņotājam ir pienākums dalīties ar jebkādu papildu informāciju. Atteikuma gadījumā, iesniegtais ziņojums var tikt anulēts.

2.5. Nav atļauts izmantot ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai (tikai, lai pierādītu ievainojamības esamību).

2.6. Nav atļauts izmantot ievainojamību vai nepilnības, lai izņemtu, grozītu vai dzēstu informāciju.

2.7. Nekādā gadījumā nav atļauts palaist pārbaudes vai testa programmas, tai skaitā, izmantot DoS (pakalpojuma atteices) uzbrukumus, kas varētu traucēt vai ietekmēt VAS “Latvijas Loto” mājaslapas darbību un tajā esošos pakalpojumus.

2.8. Nav atļauts izmantot skenerus vai automatizētus rīkus, lai atrastu ievainojamības, jo tie var traucēt sistēmu darbībai. Šādi rīkojoties, iesniegtais ziņojums būs nederīgs, un jums tiks pilnībā aizliegta turpmākā darbība un ziņojuma izskatīšana tiks apturēta.

2.9. Nav atļauts mēģināt veikt tādus uzbrukumus kā sociālā inženierija, pikšķerēšana utt. Šāda veida ievainojamības vai nepilnību atklājumi netiks uzskatīti par pamatotiem, un, ja tie tiks notverti, tie tiks izskatīti LR likumdošanas noteiktajā kārtībā.

3. Atbildīgas ievainojamību vai nepilnību ziņošanas noteikumi un nosacījumi

3.1. Ievērojiet visus piemērojamos LR likumdošanas likumus.

3.2. Ziņojot par ievainojamību vai nepilnību, jums jāizvairās no konfidencialitātes pārkāpumiem, datu iznīcināšanas, mūsu pakalpojumu pārtraukšanas un pasliktināšanas. Jebkura pārkāpuma gadījumā VAS “Latvijas Loto” patur tiesības vērsties tiesā, atbilstoši LR likumdošanai.

3.3. Tiesības uz ziņojuma atzīšanu ir VAS “Latvijas Loto” pārziņā.

3.4. Ievainojamības ļaunprātīga izmantošana jūsu vai citu labā automātiski anulē ziņojumu un tā turpmāku izskatīšanu.

3.5. Jebkura veida draudi automātiski anulē ziņojumu no turpmākas tā izskatīšanas.

3.6. Visai saziņai ar VAS “Latvijas Loto” saistībā ar šo ziņojumu ir jābūt pilnībā konfidenciālai. Pēc ievainojamības vai nepilnības ziņojuma slēgšanas pētniekiem jāiznīcina visi pierādījumi, kas izveidoti, lai dokumentētu ievainojamības (POC kods, videoklipi, ekrānuzņēmumi un tml.).

3.7. VAS “Latvijas Loto” patur tiesības jebkurā laikā bez iepriekšēja brīdinājuma apturēt atbildīgas ievainojamību atklāšanas politikas turpmāko darbību.

3.8. Testēšana nedrīkst pārkāpt nevienu likumu, kā arī traucēt vai apdraudēt visus sistēmas datus vai piekļuves datiem, kas jums nepieder.

3.9. Publiska uzmākšanās VAS “Latvijas Loto” sociālajās vietnēs (Facebook, Twitter, LinkedIn utt.), lai paātrinātu pārskatīšanas procesu, vai mēģinājums atriebties par nevēlamiem ziņojuma rezultātiem izraisīs tūlītēju šī ziņojuma anulāciju un pastāvīgu aizliegumu iesniegt šāda veida ziņojumus.

3.10. Personīga aizskaršana, kuras rezultātā ar sniegto ziņojumu tiek nodarīts kaitējums VAS “Latvijas Loto” pašlaik strādājošam vai bijušam darbiniekam, nekavējoties tiks anulēts un tiks aizliegta turpmāka iespēja sniegt šāda veida ziņojumus, un tas var rezultēties atbilstošā tiesvedībā.

4. Kārtība un formāts ziņošanai par atbildīgu ievainojamību vai nepilnību

4.1. Ikviens drošības pētnieks (vai persona, kas ir identificējusi ievainojamību) var ziņot par kļūdu, kas varētu apdraudēt lietotāju datu integritāti, apiet lietotāja datu privātuma aizsardzību vai ļautu piekļūt ierobežotai / sensitīvai sistēmai mūsu infrastruktūrā. Šādas ievainojamības ir, piemēram:

  • starpvietņu skriptošana (cross-site scripting),
  • šifrēšanas kļūdas (encryption flaws),
  • attālināta koda izpilde (remote code execution);
  • ar maksājumiem saistīti jautājumi, u.c.

4.2. Drošības pētnieks (vai cita persona, kas ir identificējusi ievainojamību), tiek aicināta sūtīt e-pastu uz drosiba@latloto.lv , iekļaujot ziņojumā (lejuplādēt ziņojums par ievainojamību) šādu informāciju:

  • Ievainojamības vai nepilnības aprakstu;
  • Ievainojamības izmantošanas veidu, ja tāds zināms;
  • Saiti, ekrānuzņēmumu vai citu informāciju, kas palīdz identificēt ievainojamību.

4.3. E-pasta sūtīšanai drošības nolūkos VAS “Latvijas Loto” aicina lietot PGP atslēgu:

Key type: RSA
Fingerprint: 6B8F 66B0 1F0F 9291 27F0 AD6B 6CEB 9C90 FEC9 39D0

5. Ziņojuma par atbildīgu ievainojamību vai nepilnību izpilde  

5.1. Saņemot ziņojumu saistībā ar ievainojamību vai konstatēto nepilnību, VAS “Latvijas Loto” sniegs apstiprinājumu par ziņojuma saņemšanu vienas darba dienu laikā.

5.2. VAS “Latvijas Loto” izskatīs ziņojumu par ievainojamību vai nepilnību desmit darba dienu laikā. VAS “Latvijas Loto” sniegtā atbilde saturēs ievainojamības ziņojuma novērtējumu un informāciju par prognozējamo ievainojamības novēršanas laiku.

5.3. VAS “Latvijas Loto” apņemas informēt par progresu problēmas atrisināšanā.

5.4. Ziņojumā sniegtā informācija ir konfidenciāla un personas dati, kas pieejami ziņojumā, tiks apstrādāti ievērojot VAS “Latvijas Loto” personas datu aizsardzības politiku.

5.5. VAS “Latvijas Loto” apņemas informēt par ievainojamības novēršanas procesu un paziņot, kad nepilnība ir novērsta.

6. Atlīdzība un apbalvojumi

6.1. VAS “Latvijas Loto” nepiedāvā atlīdzību par ievainojamības atrašanu, bet pēc ievainojamības novēršanas var palīdzēt sagatavot informāciju publicēšanai, nodrošinot pozitīvu atbalstu un publicitāti, ja pētnieks izsaka šādu vēlēšanos.

6.2. VAS “Latvijas Loto” izsniedz atzinības rakstu pētniekiem (vai citai personai, kas ir identificējušas ievainojamību), kuri ilgāku laika posmu vai pastāvīgi ziņo par drošības nepilnībām.

7. Citi noteikumi

7.1. VAS “Latvijas Loto” atbildīga ievainojamību atklāšanas politika ir pieejama VAS “Latvijas Loto” tīmekļa vietnē https://www.latloto.lv/.

7.2. VAS “Latvijas Loto” ir tiesības vienpusēji veikt papildinājumus atbildīgas ievainojamību atklāšanas politikā, aktuālo versiju ievietojot VAS “Latvijas Loto” tīmekļa vietnē https://www.latloto.lv/.

Ziņojums par ievainojamību

Grozs

(( item.name ))

Cena: (( item.price ))€ x (( item.count ))

-
+
Kopā: (( sum )) €