Политика раскрытия уязвимостей
Цель этого документа
Безопасность наших клиентов и услуг, которые мы им предлагаем, является главным приоритетом в Djaboo. Как поставщик услуг, тесно связанных с персональными и административными данными (CRM, выставление счетов, бухгалтерский учет), безопасность лежит в основе всех наших разработок.
Несмотря на нашу постоянную бдительность, в наших продуктах могут оставаться уязвимости.
Этот документ предназначен для описания нашей политики сообщения об уязвимостях, демонстрации нашей приверженности безопасности и нашей признательности сообществу экспертов по безопасности за их усилия.
периметре
- Все элементы приложения Djaboo (веб-интерфейс, API и т.д.)
- Услуги по следующим направлениям:
www.djaboo.com
www.djaboo.app
api.djaboo.com
Правила раскрытия информации
Djaboo обязуется не преследовать стороны, сообщившие об уязвимостях, при условии, что подписавшие стороны:
- Проводите исследования в области безопасности, не нанося вреда Djaboo, ее клиентам, сотрудникам или поставщикам услуг.
- Не используйте, не разглашайте и не изменяйте данные, полученные в ходе этого исследования.
- Не мешать нормальному функционированию сервисов
- Не выполнять атаку типа «отказ в обслуживании»
Об обнаруженных уязвимостях необходимо сообщать в подробном отчете на английском языке.
В отчете должны содержаться фактические доказательства наличия уязвимости, а также шаги, необходимые для ее воспроизведения.
Никакие личные данные не должны быть включены в отчет.
Подписанты обязуются не раскрывать информацию о нарушении без явного согласия Djaboo.
Отчет необходимо отправить по адресу app@djaboo.com.
Примечание: адрес app@djaboo.com предназначен только для сбора отчетов об уязвимостях. Все остальные запросы следует направлять привет@djaboo.com.
Reponses
Djaboo обязуется отвечать подписавшимся.
Если заявленная уязвимость подтвердится, подписантам может быть предоставлена финансовая компенсация по усмотрению Djaboo.
Кроме того, подписант может быть упомянут на общедоступной странице, управляемой Djaboo.