Раскрытие уязвимостей

Privata Solutions L.L.C. поддерживает программу ответственного раскрытия уязвимостей (Vulnerability Disclosure Program). Программа позволяет независимым исследователям и пользователям продукта сообщать о потенциальных уязвимостях в сервисе Privata Proteus, корпоративном сайте и сопутствующих сервисах.

Цель программы — оперативное выявление и устранение проблем безопасности, повышение защищённости пользователей и партнёров Компании.

В рамках программы рассматриваются сообщения, относящиеся к:

• сервису Privata Proteus, включая веб-интерфейс и API;
• агенту, устанавливаемому на корпоративные машины;
• корпоративному сайту privata-proteus.com;
• публикуемым SDK, инструментам интеграции и официальной документации.

Сообщения о проблемах в инфраструктуре конкретных заказчиков (self-hosted развёртывания, кастомные интеграции) направляются в адрес соответствующего заказчика.

• обход аутентификации или контроля доступа;
• уязвимости, ведущие к раскрытию данных пользователей;
• возможности повышения привилегий, выхода за пределы изолированной сессии;
• удалённое выполнение кода, инъекции, SSRF, XXE;
• уязвимости в криптографических механизмах;
• проблемы в логике биллинга и тарификации.

• атаки типа отказ в обслуживании (DoS/DDoS) и нагрузочное тестирование без согласования;
• социальная инженерия в отношении сотрудников и подрядчиков Компании;
• физический доступ к инфраструктуре;
• теоретические уязвимости без подтверждённой возможности эксплуатации;
• отчёты, основанные исключительно на отсутствии заголовков безопасности, без демонстрации воздействия;
• сообщения о проблемах в сторонних сервисах, не находящихся в ведении Компании.

Сообщения о потенциальных уязвимостях направляются на адрес security@privata-solutions.com. PGP-ключ предоставляется по запросу для зашифрованной переписки.

В сообщении рекомендуется указывать:

• описание уязвимости и затронутого компонента;
• пошаговый сценарий воспроизведения, включая необходимые входные данные;
• оценку потенциального воздействия и предлагаемые меры устранения (при наличии);
• контактные данные исследователя для дальнейшей коммуникации.

• подтверждение получения сообщения — в течение 24 часов;
• первичная оценка и уведомление о статусе — в течение 5 рабочих дней;
• информирование об устранении уязвимости — после выпуска соответствующего обновления;
• координация публичного раскрытия — по согласованию с исследователем, как правило, после устранения проблемы.

Компания не инициирует юридического преследования в отношении добросовестных исследователей, действующих в соответствии с настоящей политикой. Под добросовестным исследованием понимается:

• соблюдение области действия Программы и установленных ограничений;
• отказ от действий, направленных на ухудшение работы Сервиса или нарушение прав других пользователей;
• непубликация сведений об уязвимости до её устранения и согласования с Компанией;
• незамедлительное уведомление Компании при случайном получении доступа к данным иных пользователей и удаление таких данных.

Указанные гарантии не распространяются на действия, нарушающие применимое законодательство Российской Федерации и иных юрисдикций.

Компания выражает признательность исследователям, способствующим повышению безопасности Сервиса. По согласованию с исследователем информация о вкладе может быть опубликована в разделе благодарностей на сайте Компании. Программа денежного вознаграждения за обнаруженные уязвимости в настоящее время не предусмотрена; решение о её введении принимается Компанией отдельно.