Политика раскрытия уязвимостей безопасности

Безопасность наших клиентов и их данных – главный приоритет для TEKCE. Если вы считаете, что обнаружили уязвимость в безопасности любого из наших сервисов, пожалуйста, сообщите нам об этом. Мы готовы к сотрудничеству, чтобы оперативно устранить проблему. TEKCE предоставляет услуги на международном рынке недвижимости в нескольких странах. Многие наши клиенты принимают важные финансовые решения с помощью нашей платформы, поэтому защита их информации имеет для нас огромное значение. Мы приветствуем отчеты от независимых исследователей безопасности, действующих добросовестно, и стремимся к совместной работе для быстрого анализа и решения любых проблем.

Как сообщить об уязвимости

Пожалуйста, отправьте ваш отчет по электронной почте на адрес [email protected]. Чтобы помочь нам оценить и воспроизвести проблему, включите в письмо как можно больше следующей информации:

• Четкое описание уязвимости и ее потенциального влияния
• Точный URL-адрес, страницу или конечную точку (endpoint), где обнаружена проблема
• Пошаговые инструкции для воспроизведения уязвимости, включая необходимые учетные записи или тестовые данные
• Материалы, подтверждающие концепцию (скриншоты, примеры запросов и ответов или короткое видео), если это применимо
• Ваше имя или никнейм, если вы хотите, чтобы мы упомянули ваше авторство

Пожалуйста, не включайте в отчет личные данные реальных клиентов. Если уязвимость открывает доступ к таким данным, опишите ее, не копируя саму информацию.

Область действия
Веб-сайты tekce.com, tekce.org и их публичные страницы
Официальные онлайн-сервисы и порталы для клиентов TEKCE

Вне области действия
Сторонние платформы и сервисы, которыми мы не управляем
Отчеты от автоматических сканеров без рабочего подтверждения концепции (PoC)
Отчеты, основанные исключительно на устаревших версиях программного обеспечения, без демонстрации возможности их реальной эксплуатации.

Правила для исследователей

При проведении анализа мы просим вас:

• Действовать добросовестно и избегать любых действий, которые могут нанести вред нашим системам, сервисам или клиентам
• Запрашивать только минимальный объем данных, необходимый для демонстрации проблемы. Категорически запрещено просматривать, изменять, сохранять или передавать данные других людей
• Не проводить DoS/DDoS-атаки, автоматическое высокоинтенсивное сканирование, атаки методами социальной инженерии, фишинг или физические атаки против наших сотрудников или офисов
• Предоставить нам разумное количество времени для изучения и устранения проблемы, прежде чем публично раскрывать какие-либо подробности
• Соблюдать все применимые законы

Чего вы можете ожидать от нас

Мы подтвердим получение вашего отчета, обычно в течение 3 рабочих дней
Мы проведем расследование, будем держать вас в курсе нашего прогресса и сообщим, как только проблема будет устранена
Мы обязуемся соблюдать конфиденциальность вашего отчета и не станем передавать ваши личные данные третьим лицам без вашего разрешения.

Правовая защита

Мы считаем исследования безопасности и раскрытие уязвимостей, проведенные в соответствии с этой политикой, санкционированными и выполненными добросовестно. Мы не станем инициировать судебное преследование против исследователей, которые следуют настоящим правилам, действуют добросовестно и избегают нарушений конфиденциальности, уничтожения данных или сбоев в работе сервисов. Если третья сторона начнет против вас судебное разбирательство из-за действий, совершенных в строгом соответствии с этой политикой, мы официально подтвердим, что вы действовали с нашего разрешения.

Признание заслуг

Мы искренне благодарны исследователям, которые помогают обеспечивать безопасность TEKCE и наших клиентов. С вашего согласия мы будем рады публично отметить ваш вклад после того, как уязвимость будет устранена. Обратите внимание, что на данный момент TEKCE не проводит программу Bug Bounty с денежными выплатами.

Контакты
Отчеты о безопасности: [email protected]