Политика за оповестяване на уязвимости
Последна актуализация: май 2023 г.
В Archway Finance отдаваме голямо значение на сигурността и поверителността на всички наши заинтересовани страни. Част от нашата работа е да правим всичко възможно, за да гарантираме, че системите ни са добре защитени, а данните, които съхраняваме – в безопасност.
Важен компонент от тази задача е откриването на всякакъв вид неизправности или неправилни конфигурации в нашите системи, които могат да засегнат или компрометират Archway Finance и неговите потребители. В тази връзка признаваме значението на работата, извършвана от независими изследователи в областта на сигурността, и сме готови да си сътрудничим с тях за постигането на тази цел, стига всички страни да действат добросъвестно.
Стремим се да реагираме, разследваме и адресираме всеки доклад за бъг или уязвимост своевременно, за да бъдем отговорни към нашите потребители и да уважим усилията на лицето, изпратило доклада.
По-долу можете да намерите всички подробности за това как правилно да изготвите доклад.
Процес
За да започнете процеса на докладване, трябва да съберете цялата информация за уязвимостта в имейл съобщение и да я изпратите на security@archway.finance.
Докладът трябва да включва:
- Засегнатите компоненти;
- Предварителните условия, които смятате, че са необходими за наличието на уязвимостта;
- Стъпките, които сте предприели, за да активирате бъга.
За проблеми с висока степен на сериозност, които могат лесно да бъдат експлоатирани, ще Ви бъдем благодарни, ако съдържанието на имейла бъде предварително криптирано. Можете да изтеглите нашия публичен PGP ключ тук и да потвърдите, че той има следния фингърпринт (отпечатък): FFF370F73EF82EB29F5C4BD58CDDCCF6EDDA0273
Бележка: Можете също така да включите информация за Вашия PGP ключ, за да запазим цялата по-нататъшна комуникация поверителна.
Нашият ангажимент
Ние уважаваме Вашата работа, затова можете да разчитате, че ще:
- Реагираме своевременно, като потвърдим получаването на доклада Ви веднага и ще Ви информираме за статуса на нашето вътрешно разследване в рамките на първите 48 часа;
- Ви предоставим реален график за разрешаване на проблема;
- Ви уведомим, когато проблемът бъде отстранен или ако има забавяне;
- Признаем публично Вашия принос.
Действия, които не позволяваме
Въпреки че приветстваме повечето доклади за бъгове и уязвимости, очакваме те да бъдат открити по отговорен начин. Поради това има определени поведения, които изрично не позволяваме, като например:
- Умишлени опити за предизвикване на „отказ от услуга“ (DoS) към нашите системи;
- Извършване на действия, които влияят негативно на Archway Finance и/или неговите потребители, включително достъп, модифициране или унищожаване на информация, която не Ви принадлежи;
- Всякакъв вид нетехнически атаки, като социално инженерство или фишинг;
- Спам в публичните зони на услугата (чатове, форуми и др.).
Признание и награди
Всички приети доклади ще бъдат автоматично отбелязани от нас на специална публична страница (страница за признание). Това признание ще съдържа името на автора (или идентификатор), дата и типа на открития бъг/уязвимост.
В случай че не желаете да бъдете добавени към страницата, моля, посочете това в имейл кореспонденцията по време на процеса на докладване.
Могат да бъдат присъдени и други видове награди. Решението за това ще се взема от специализиран вътрешен екип и ще се основава на следните критерии:
- Сериозност (Severity): Потенциалните щети за Archway Finance и неговите потребители;
- Въздействие (Impact): Броят на засегнатите потребители;
- Възможност за експлоатация (Exploitability): Колко лесно би било да се експлоатира съответната уязвимост;
- Качество на доклада: Общо ниво на детайлност и яснота на доклада.
Не предвиждаме присъждането на такива допълнителни награди във всички случаи; те са предназначени за изключителни доклади.