سیاست افشای آسیب‌پذیری‌های امنیتی

امنیت مشتریان و داده‌های آن‌ها برای TEKCE یک اولویت است. اگر فکر می‌کنید یک آسیب‌پذیری امنیتی در هر یک از خدمات ما پیدا کرده‌اید، خوشحال می‌شویم از شما بشنویم و برای رفع آن با شما همکاری خواهیم کرد. TEKCE خدمات بین‌المللی املاک را در چندین کشور ارائه می‌دهد. بسیاری از مشتریان ما از طریق پلتفرم ما تصمیمات مالی مهمی اتخاذ می‌کنند، بنابراین حفاظت از اطلاعات آن‌ها برای ما اهمیت زیادی دارد. ما از گزارش‌های پژوهشگران امنیتی که با حسن نیت عمل می‌کنند استقبال می‌کنیم و متعهد هستیم که برای درک و رفع سریع هرگونه مشکل با شما همکاری کنیم.

نحوه گزارش یک آسیب‌پذیری

لطفاً گزارش خود را از طریق ایمیل به [email protected] ارسال کنید. برای کمک به ما در ارزیابی و بازتولید مشکل، لطفاً تا حد امکان اطلاعات زیر را در گزارش خود درج کنید:

• توضیحی واضح درباره آسیب‌پذیری و تأثیرات احتمالی آن.
• آدرس دقیق URL، صفحه یا نقطه پایانی (endpoint) تحت تأثیر.
• دستورالعمل‌های مرحله‌به‌مرحله برای بازتولید مشکل، شامل هرگونه حساب کاربری یا داده آزمایشی مورد نیاز.
• مدارک اثبات مفهوم (مانند تصاویر صفحه، نمونه درخواست‌ها و پاسخ‌ها یا یک ویدیوی کوتاه) در صورت مرتبط بودن.
• نام یا نام مستعار شما، در صورتی که مایل باشید از مشارکت شما قدردانی شود.

لطفاً اطلاعات شخصی واقعی مشتریان را در گزارش خود وارد نکنید. اگر یک یافته باعث افشای چنین اطلاعاتی می‌شود، مشکل را بدون کپی کردن خود داده‌ها توضیح دهید.

موارد تحت پوشش
وب‌سایت‌های tekce.com و tekce.org و صفحات عمومی آن‌ها.
خدمات آنلاین رسمی TEKCE و پورتال‌های مشتریان.

موارد خارج از پوشش
پلتفرم‌ها و خدمات شخص ثالثی که تحت مدیریت ما نیستند.
یافته‌هایی که تنها توسط ابزارهای اسکن خودکار و بدون ارائه مدرک اثبات مفهوم معتبر گزارش شده‌اند.
گزارش‌هایی که صرفاً بر اساس نسخه‌های قدیمی نرم‌افزار بوده و هیچ تأثیر قابل بهره‌برداری اثبات‌شده‌ای ندارند.

راهنمای پژوهشگران

هنگام انجام تحقیقات، از شما درخواست می‌کنیم که:

• با حسن نیت عمل کنید و از هر اقدامی که ممکن است به سیستم‌ها، خدمات یا مشتریان ما آسیب برساند خودداری کنید.

• تنها به حداقل داده‌های مورد نیاز برای اثبات مشکل دسترسی داشته باشید و هرگز داده‌های دیگران را مشاهده، تغییر، ذخیره یا به اشتراک نگذارید.
• هیچ‌گونه آزمایش منع سرویس (Denial of Service)، اسکن خودکار با حجم بالا، مهندسی اجتماعی، فیشینگ یا حملات فیزیکی علیه کارکنان یا دفاتر ما انجام ندهید.
• پیش از انتشار عمومی هرگونه جزئیات، زمان منطقی برای بررسی و رفع مشکل در اختیار ما قرار دهید.
• تمام قوانین و مقررات قابل اجرا را رعایت کنید.

انتظارات شما از ما

ما دریافت گزارش شما را معمولاً ظرف ۳ روز کاری تأیید خواهیم کرد.
ما مشکل را بررسی می‌کنیم، شما را از روند پیشرفت مطلع نگه می‌داریم و پس از رفع مشکل به شما اطلاع خواهیم داد.
گزارش شما را محرمانه نگه می‌داریم و بدون اجازه شما اطلاعات شخصی‌تان را به اشتراک نخواهیم گذاشت.

حفاظت قانونی

ما تحقیقات امنیتی و افشای آسیب‌پذیری‌هایی را که مطابق با این سیاست انجام می‌شوند، مجاز و با حسن نیت تلقی می‌کنیم. ما علیه پژوهشگرانی که از این سیاست پیروی کنند، با حسن نیت عمل کنند و از نقض حریم خصوصی، تخریب داده‌ها و ایجاد اختلال در خدمات خودداری کنند، اقدام قانونی نخواهیم کرد. اگر شخص ثالثی به دلیل فعالیت‌هایی که مطابق با این سیاست انجام شده‌اند علیه شما اقدام قانونی کند، ما این مجوز را اعلام خواهیم کرد.

قدردانی

ما از پژوهشگرانی که به حفظ امنیت TEKCE و مشتریان ما کمک می‌کنند سپاسگزاریم. با اجازه شما، پس از رفع یک مشکل، خوشحال می‌شویم که از مشارکت شما به‌صورت عمومی قدردانی کنیم. TEKCE در حال حاضر برنامه پاداش باگ (Bug Bounty) پرداختی ندارد.

تماس
گزارش‌های امنیتی: [email protected]