سياسة الإفصاح عن الثغرات الأمنية

Socialinsider - منتج من Code Path SRL

تلتزم Socialinsider بضمان أمان مستخدميها من خلال حماية معلوماتهم. توفر هذه السياسة للباحثين الأمنيين إرشادات حول كيفية إجراء أنشطة اكتشاف الثغرات وتعليمات حول كيفية إرسال الثغرات إلينا.

توضح هذه السياسة الأنظمة وأنواع الأبحاث المشمولة ضمنها، وكيفية إرسال تقارير الثغرات إلينا، ومدة الانتظار المطلوبة من الباحثين الأمنيين قبل الكشف العلني عن الثغرات. نشجعك على التواصل معنا للإبلاغ عن أي ثغرات محتملة في أنظمتنا.

إذا بذلت جهداً حسن النية للامتثال لهذه السياسة أثناء بحثك الأمني، سنعتبر بحثك مصرحاً به وسنعمل معك لفهم المشكلة وحلها بسرعة، ولن توصي Socialinsider أو تتخذ إجراءات قانونية متعلقة ببحثك. إذا قام طرف ثالث باتخاذ إجراء قانوني ضدك بسبب أنشطة تمت وفقًا لهذه السياسة، سنعلن عن هذا التصريح.

الإرشادات

بموجب هذه السياسة، يُقصد بـ"البحث" الأنشطة التي تقوم بها كباحث أمني:

  • أبلغنا في أقرب وقت ممكن بعد اكتشافك لأي مشكلة أمنية.
  • ابذل كل جهد لتجنب انتهاكات الخصوصية، أو تدهور تجربة المستخدم، أو تعطيل الأنظمة التشغيلية، أو تدمير أو التلاعب بالبيانات.
  • استخدم الثغرات فقط بالقدر الضروري لتأكيد وجودها. لا تستخدم الثغرة لاختراق أو استخراج البيانات، أو إنشاء وصول دائم لسطر الأوامر، أو استخدامها للانتقال إلى أنظمة أخرى.
  • امنحنا وقتاً مناسباً لمعالجة المشكلة قبل الإعلان عنها علنًا.
  • لا تقدم عدداً كبيراً من التقارير منخفضة الجودة.

لمساعدتنا في فهم التقارير، نوصي بأن يتضمن تقديمك:

  • وصف مكان اكتشاف الثغرة والتأثير المحتمل لاستغلالها.
  • تقديم شرح مفصل للخطوات اللازمة لإعادة إنتاج الثغرة - اللقطات أو تسجيلات الفيديو مفيدة.
  • كتابة التقرير باللغة الإنجليزية.

بمجرد التأكد من وجود ثغرة أو مواجهة أي بيانات حساسة (بما في ذلك المعلومات الشخصية أو المالية أو المعلومات المملوكة أو الأسرار التجارية لأي طرف)، يجب عليك إيقاف الاختبار فورًا، وإبلاغنا على الفور، وعدم الكشف عن هذه البيانات لأي شخص آخر.

ممارسات محظورة

طرق الاختبار التالية غير مصرح بها:

  • اختبارات حجب الخدمة (DoS أو DDoS) أو أي اختبارات أخرى تُعيق الوصول إلى الأنظمة
  • اختبار الثغرات غير التقنية

تنطبق هذه السياسة على الأنظمة والخدمات التالية:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

أي خدمة لم تُذكر صراحة أعلاه، مثل أي خدمات متصلة، مستبعدة من النطاق وغير مصرح باختبارها.
بالإضافة إلى ذلك، فإن الثغرات الموجودة في أنظمة الموردين لدينا تقع خارج نطاق هذه السياسة ويجب الإبلاغ عنها مباشرةً للمورد حسب سياسة الإبلاغ الخاصة بهم (إن وجدت).
إذا لم تكن متأكدًا ما إذا كان النظام ضمن النطاق أم لا، تواصل معنا على security@socialinsider.io قبل بدء البحث الخاص بك.

إذا كان هناك نظام معين خارج النطاق تعتقد أنه يستحق الاختبار، يرجى التواصل معنا لمناقشته أولاً. يمكن توسيع نطاق هذه السياسة مع مرور الوقت.

الإبلاغ عن ثغرة أمنية

سيتم استخدام المعلومات المقدمة بموجب هذه السياسة لأغراض دفاعية فقط – للتقليل أو معالجة الثغرات الأمنية.

إذا كانت نتائجك تتضمن ثغرات جديدة تؤثر على جميع مستخدمي منتج أو خدمة وليس فقط Socialinsider، فقد نشارك تقريرك مع أطراف ثالثة، حيث سيتم التعامل معه ضمن عملية الإفصاح المنسق عن الثغرات الأمنية الخاصة بهم.

لن نشارك معلومات الاتصال الخاصة بك دون إذن صريح.
نقبل تقارير الثغرات عبر security@socialinsider.io. يمكن إرسال التقارير بشكل مجهول.

عندما تختار مشاركة معلومات الاتصال الخاصة بك معنا، نلتزم بالتواصل معك بأكبر قدر من الشفافية والسرعة الممكنة.

  • خلال 7 أيام عمل، سنؤكد استلامنا لتقريرك.
  • سوف نؤكد لك وجود الثغرة ونكون شفافين قدر الإمكان بشأن الخطوات التي نتخذها أثناء عملية المعالجة.
  • سنحافظ على استمرار الحوار حول القضايا.