Pēdējo reizi atjaunota: 2024. gada 18. novembrī
Šī Drošības ievainojamību atklāšanas politika ir sagatavota, lai sniegtu tīmekļa vietnes www.request.lv (turpmāk – Vietne) apmeklētājiem un kiberdrošības pētniekiem informāciju par ievainojamību ziņošanas procedūrām, ziņojumu izmantošanas mērķiem un gan ziņotāja, gan Request (turpmāk – Atbildīgā persona) atbildību.
Atbildīgā persona augsti vērtē ētisko hakeru un plašākas drošības kopienas ieguldījumu, palīdzot nodrošināt mūsu sistēmu un datu drošību.
1. Informācija par Atbildīgo personu
Atbildīgā persona par drošības ievainojamību ziņojumu apstrādi ir SIA Request (turpmāk – Request), vienotais reģistrācijas numurs: 40203423105, juridiskā adrese: Stabu iela 109 – 1, Rīga, LV-1009, Latvija, e-pasta adrese: [email protected]
2. Mērķis un tiesiskais pamats
Šīs politikas mērķis ir noteikt skaidru procesu, kā atbildīgi ziņot par mūsu sistēmu ievainojamībām, lai palīdzētu uzturēt Atbildīgās personas sniegto pakalpojumu drošību un integritāti.
Ievainojamību ziņojumu apstrāde var ietvert personas datus, piemēram, ziņotāja kontaktinformāciju, kas tiks apstrādāta, pamatojoties uz Vispārīgās datu aizsardzības regulas 6. panta 1. punkta f) apakšpunktu – Atbildīgās personas leģitīmās intereses. Tas ietver ziņojumu izskatīšanu, pārvaldīšanu un atklāto ievainojamību risināšanu. Sīkāku informāciju par to, kā mēs izmantojam, glabājam un aizsargājam jūsu personas datus, lasiet mūsu Privātuma politikā.
3. Politikas piemērošanas joma
Šī politika attiecas uz visām Atbildīgās personas tieši piederošām vai pārvaldītām publiski pieejamām sistēmām un pakalpojumiem, tostarp:
- Tīmekļa vietni un tās apakšdomēniem;
- Vietnēm un tīmekļa lietotnēm, ko izstrādājusi un pārvalda Atbildīgā persona.
Šī politika neattiecas uz:
- Trešo pušu pakalpojumiem un platformām, kas integrētas ar mūsu sistēmām;
- Fizisko infrastruktūru un resursiem.
4. Security.txt faili mūsu vietnēs
Vietnēs, kuras pārvalda Atbildīgā persona, ir pieejami security.txt faili – standarta teksta faili, kas sniedz kiberdrošības pētniekiem vieglu veidu, kā atrast kontaktinformāciju drošības ievainojamību ziņošanai.
Security.txt faili ir izvietoti katras vietnes direktorijā /.well-known/. Piemēram, vietnes www.request.lv security.txt failu var atrast saitē www.request.lv/.well-known/security.txt
Šie faili satur:
- Kontaktinformāciju drošības ievainojamību ziņošanai;
- Vēlamo valodu sarakstu drošības ievainojamību ziņošanai;
- Security.txt faila derīguma termiņu;
- Saiti uz šo Drošības ievainojamību atklāšanas politiku;
- Papildu resursus, piemēram, mūsu PGP (Pretty Good Privacy) publisko šifrēšanas atslēgu drošai saziņai.
Mēs iesakām pētniekiem atsaukties uz security.txt failu, lai iegūtu visjaunāko informāciju par drošības ievainojamību ziņošanu.
5. Aizliegtās testēšanas metodes
Ir stingri aizliegts izmantot šādas testēšanas metodes:
- Veikt sociālās inženierijas uzbrukumus;
- Automatizēti minēt sistēmu un/vai lietotāju paroles (brute-forcing);
- Izmantot ievainojamības, lai iegūtu, modificētu vai dzēstu informāciju;
- Mēģināt ietekmēt pakalpojumu pieejamību ar pakalpojuma atteices (DoS vai DDoS) uzbrukumiem;
- Izmantot ievainojamības, lai piekļūtu sensitīvai informācijai (izņemot minimāli nepieciešamo apjomu, lai pierādītu ievainojamības esamību).
Ja testēšanas laikā jūs sastopaties ar šāda veida informāciju, jums nekavējoties jāpārtrauc testēšana un jāziņo par atklājumu Atbildīgajai personai:
- Personas identificējošu informāciju;
- Komercnoslēpumus vai patentētu informāciju;
- Finanšu informāciju, piemēram, bankas kontu vai norēķinu karšu / kredītkaršu datus.
6. Ziņošana par ievainojamību
Lai ziņotu par ievainojamību, lūdzu, sazinieties ar mūsu drošības incidentu reaģēšanas komandu, rakstot uz e-pastu [email protected]
Ja jūsu ziņojumā ir ietverta sensitīva informācija, mēs iesakām izmantot PGP (Pretty Good Privacy) šifrēšanu. Mūsu publisko PGP šifrēšanas atslēgu var iegūt saitē www.request.lv/lv/drosiba
Iesniedzot ziņojumu, lūdzu, norādiet:
- Detalizētu atklātās ievainojamības aprakstu, tostarp tās atveidošanas soļus;
- Atklātās ievainojamības darbības jomu, piemēram, skartās sistēmas vai datus;
- Jebkādus atbalstošus pierādījumus, piemēram, ekrānuzņēmumus vai koncepcijas kodu;
- Jūsu kontaktinformāciju jautājumu uzdošanai ziņojuma pārskatīšanas un izmeklēšanas laikā.
6. Atbildīgās personas apņemšanās
Atbildīgā persona neuzsāks tiesiskas darbības pret personām, kuras:
- Ievēro šo politiku ievainojamību testēšanas un ziņošanas laikā;
- Ievēro savas dzīvesvietas valsts un Latvijas Republikā piemērojamos likumus;
- Atturas no ievainojamību detaļu publiskas atklāšanas, pirms Atbildīgā persona ir izmeklējusi un atrisinājusi problēmu.
8. Nobeiguma jautājumi
Šī Drošības ievainojamību atklāšanas politika pēc nepieciešamības var tikt mainīta, aktuālajai politikas versijai tiekot publicētai Request tīmekļa vietnē.
Šī Drošības ievainojamību atklāšanas politika ir pieejama Request tīmekļa vietnē arī angļu valodas versijā (www.request.lv/security/vulnerability-disclosure-policy). Neatbilstību vai pretrunu gadījumā starp latviešu un angļu valodas versijām, latviešu valodas versija (www.request.lv/lv/drosiba/ievainojamibu-atklasanas-politika) būs noteicošā visos aspektos.
Jautājumu gadījumā par šo politiku vai ievainojamību ziņošanas procesu ar Atbildīgo personu var sazināties nosūtot ierakstītu vēstuli uz uzņēmuma juridisko adresi: Stabu iela 109 – 1, Rīga, LV-1009, Latvija vai e-pastā: [email protected]