Политика ответственного выявления уязвимостей

 

1.Цели

1.1. Цель политики ответственного выявления уязвимостей VAS “Latvijas Loto” – это в ежедневной практике определить требования к раскрытию недочетов в IT безопасности и привлечь исследователей по безопасности (или других лиц, которые выявили уязвимость) сообщать об уязвимых местах в доменах, принадлежащих VAS “Latvijas Loto”.

1.2. Политика ответственного выявления уязвимостей VAS “Latvijas Loto” распространяется на любого исследователя (или лиц, выявивших уязвимость), которые могут предоставить информацию об уязвимости или наличии недочетов в принадлежащих VAS “Latvijas Loto” доменах.

1.3. Политика ответственного выявления уязвимостей VAS “Latvijas Loto” предназначена для следующих групп лиц – исследователи по безопасности или другие лица, которые выявили уязвимость.

 

2.Основные принципы ответственного информирования об уязвимостях или недочетах

2.1. Выявленную уязвимость или недочеты нельзя обнародовать без предварительного подтверждения от ответственного сотрудника VAS “Latvijas Loto”.

2.2. При рассмотрении предоставленного отчета, во внимание берется его оригинальность, качество и содержание. Каждому, кто предоставляет отчет, необходимо убедиться в том, что в отчете четко изложено влияние проблемы, а также, чтобы он был удобен в использовании и с детальным описанием доказательств.

2.3. Ответственному за предоставление отчета необходимо убедиться в том, что любую информацию, например, видео, скрипт и т.д., нельзя загрузить на сторонний сайт, и ее нужно прикрепить непосредственно к электронному письму, которое направляется на рассмотрение в VAS “Latvijas Loto”.

2.4. VAS “Latvijas Loto” имеет право запросить, а обязанность заявителя делиться любой дополнительной информацией. В случае отказа предоставленный отчет может быть аннулирован.

2.5. Не разрешено пользоваться уязвимостью для доступа или попытке получения доступа к информации (только для предоставления доказательств о наличии уязвимости).

2.6. Не разрешено использовать уязвимость или недочет для удаления или изменения информации.

2.7. Ни в коем случае не разрешено запускать проверочные или тестовые программы, в том числе использовать DoS-атаки (сбой услуги), которые могут помешать или повлиять на работу домашней страницы VAS “Latvijas Loto” или на предоставляемые услуги.

2.8. Не разрешено применять сканеры или автоматические инструменты, для определения уязвимостей, поскольку они могут нарушить работу системы. В этом случае, предоставленный отчет будет недействителен, и вам будет полностью запрещена дальнейшая деятельность и рассмотрение отчета будет приостановлено.

2.9. Не разрешено применять такие атаки, как социальная инженерия, фишинг и т.д. В этом случае уязвимости или недочеты будут считаться необоснованными, и, если таковые будут обнаружены, рассматриваться они будут в соответствии с законодательством ЛР.

 

3.Правила и условия сообщений об уязвимости или недочетах

3.1. Соблюдайте все действующие законы законодательства ЛР.

3.2. Сообщая об уязвимости или недочетах, вы должны избегать нарушений о конфиденциальности, уничтожении данных, прерывания или ухудшения наших услуг. В случае любого нарушения VAS “Latvijas Loto” оставляет за собой право обратиться в суд, в соответствии с законодательством ЛР.

3.3. Право на признание отчета остается на усмотрении VAS “Latvijas Loto”.

3.4. Злоумышленное использование уязвимости в вашу пользу или в пользу других лиц, автоматически аннулирует отчет и его дальнейшее рассмотрение.

3.5. Любая угроза автоматически аннулирует отчет и его дальнейшее рассмотрение.

3.6. Общение с VAS “Latvijas Loto” в связи с отчетом должно быть конфиденциальным. После завершения отчета об уязвимости или недочетах, исследователь обязан уничтожить все доказательства, которые были созданы для документации уязвимости (POC код, видео, скриншоты и тому подобное).

3.7. VAS “Latvijas Loto” оставляет за собой право в любой момент, без предварительного предупреждения, остановить дальнейшее действие ответственной политики раскрытия уязвимостей.

3.8. Тестирование не должно нарушать ни один закон, а также мешать или угрожать данным всей системы или доступу к не принадлежащих вам данным.

3.9. Публичное преследование VAS “Latvijas Loto” в социальных сетях (Facebook, Twitter, LinkedIn и т.д.), в целях ускорения рассмотрения процесса, или попытки отомстить за не желаемые результаты отчета, вызовет незамедлительное аннулирование отчета и будет наложен постоянный запрет на предоставление отчетов такого рода.

3.10. Оскорбление личного характера, в результате которого предоставленным отчетом причинён вред в настоящем работающему или бывшему сотруднику AS “Latvijas Loto”. Отчет будет незамедлительно аннулирован, и в дальнейшем будет запрещена возможность предоставления отчетов такого рода, и это может привести к соответствующему судебному разбирательству.

 

4. Порядок и формат сообщения об ответственной уязвимости или недочетах

4.1. Каждый исследователь по безопасности (или лицо, выявившее уязвимость) может сообщить об ошибке, которая могла бы нести угрозу целостности пользовательским данным, обойти защиту личных данных пользователя или разрешить доступ к ограниченной / сенситивной системе в нашей инфраструктуре. К таким уязвимостям можно отнести, например:

  • межсайтовый скриптинг (cross-site scripting),
  • ошибки при шифровании (encryption flaws),
  • удаленное выполнения кода (remote code execution);
  • вопросы, связанные с платежами, и др.

4.2. Исследователю по безопасности (или другому лицу, которое выявило уязвимость) предлагается отправить электронное письмо на drosiba@latloto.lv, указав в отчете (загрузить отчет об уязвимости) следующую информацию:

  • Описание уязвимости или недочетов;
  • Вид использования уязвимости, если таковой известен;
  • Сайт, скриншот или другую информацию, которая может помочь определить уязвимость.

4.3. В целях безопасности для отправки отчета VAS “Latvijas Loto” предлагает использовать PGP ключ:

Key type: RSA
Fingerprint: 6B8F 66B0 1F0F 9291 27F0 AD6B 6CEB 9C90 FEC9 39D0

 

5. Исполнение сообщения об ответственной уязвимости или недочетах 

5.1. При получении отчета, связанного с уязвимостью или недочетах, VAS “Latvijas Loto” предоставит подтверждение получения сообщения в течении одного рабочего дня.

5.2. VAS “Latvijas Loto” рассмотрит отчет об уязвимости или недочетах в течении десяти рабочих дней. Предоставленный ответ от VAS “Latvijas Loto” будет содержать оценку отчета об уязвимости и информацию об прогнозируемом времени ее устранения.

5.3. VAS “Latvijas Loto” обязуется информировать о прогрессе решения проблемы.

5.4. Информация, предоставленная в отчете, - конфиденциальна, и персональные данные, которые доступны в отчете, будут обработаны, соблюдая политику VAS “Latvijas Loto” о защите персональных данных.

5.5. VAS “Latvijas Loto” обязуется информировать о процессе устранения уязвимости и сообщать, когда недочет будет устранен.

 

6. Вознаграждения и награждения

6.1. VAS “Latvijas Loto” не предлагает вознаграждение за выявление уязвимости, но после ее устранения может помочь в подготовке информации для публикации, обеспечив положительную поддержку и публичность, если исследователь изъявит такое желание.

6.2. VAS “Latvijas Loto” выдает письмо с благодарностью исследователям (или другим лицам, выявившим уязвимость), которые на протяжении долгого времени или на постоянной основе сообщают о недочетах в системе безопасности.

 

7. Другие правила

7.1. Политика ответственного выявления уязвимостей VAS “Latvijas Loto” доступна на сайте VAS “Latvijas Loto” https://www.latloto.lv/ru/ .

7.2. VAS “Latvijas Loto” имеет право в одностороннем порядке производить дополнения в политике ответственного выявления уязвимостей, публикуя ее на страничке VAS “Latvijas Loto” https://www.latloto.lv/ru/ .

Сообщение об уязвимости. 

 

Корзина

(( item.name ))
Цена: (( item.price ))€
Общая сумма: (( sum )) €
Ваша корзина пока пуста...