Drošības ievainojamību atklāšanas politika

Pēdējo reizi atjaunota: 2024. gada 18. novembrī

Šī Drošības ievainojamību atklāšanas politika ir sagatavota, lai sniegtu tīmekļa vietnes www.request.lv (turpmāk – Vietne) apmeklētājiem un kiberdrošības pētniekiem informāciju par ievainojamību ziņošanas procedūrām, ziņojumu izmantošanas mērķiem un gan ziņotāja, gan Request (turpmāk – Atbildīgā persona) atbildību.

Atbildīgā persona augsti vērtē ētisko hakeru un plašākas drošības kopienas ieguldījumu, palīdzot nodrošināt mūsu sistēmu un datu drošību.

1. Informācija par Atbildīgo personu

Atbildīgā persona par drošības ievainojamību ziņojumu apstrādi ir SIA Request (turpmāk – Request), vienotais reģistrācijas numurs: 40203423105, juridiskā adrese: Stabu iela 109 – 1, Rīga, LV-1009, Latvija, e-pasta adrese: [email protected]

2. Mērķis un tiesiskais pamats

Šīs politikas mērķis ir noteikt skaidru procesu, kā atbildīgi ziņot par mūsu sistēmu ievainojamībām, lai palīdzētu uzturēt Atbildīgās personas sniegto pakalpojumu drošību un integritāti.

Ievainojamību ziņojumu apstrāde var ietvert personas datus, piemēram, ziņotāja kontaktinformāciju, kas tiks apstrādāta, pamatojoties uz Vispārīgās datu aizsardzības regulas 6. panta 1. punkta f) apakšpunktu – Atbildīgās personas leģitīmās intereses. Tas ietver ziņojumu izskatīšanu, pārvaldīšanu un atklāto ievainojamību risināšanu. Sīkāku informāciju par to, kā mēs izmantojam, glabājam un aizsargājam jūsu personas datus, lasiet mūsu Privātuma politikā.

3. Politikas piemērošanas joma

Šī politika attiecas uz visām Atbildīgās personas tieši piederošām vai pārvaldītām publiski pieejamām sistēmām un pakalpojumiem, tostarp:

  • Tīmekļa vietni un tās apakšdomēniem;
  • Vietnēm un tīmekļa lietotnēm, ko izstrādājusi un pārvalda Atbildīgā persona.


Šī politika neattiecas uz:

  • Trešo pušu pakalpojumiem un platformām, kas integrētas ar mūsu sistēmām;
  • Fizisko infrastruktūru un resursiem.


4. Security.txt faili mūsu vietnēs

Vietnēs, kuras pārvalda Atbildīgā persona, ir pieejami security.txt faili – standarta teksta faili, kas sniedz kiberdrošības pētniekiem vieglu veidu, kā atrast kontaktinformāciju drošības ievainojamību ziņošanai.

Security.txt faili ir izvietoti katras vietnes direktorijā /.well-known/. Piemēram, vietnes www.request.lv security.txt failu var atrast saitē www.request.lv/.well-known/security.txt

Šie faili satur:


Mēs iesakām pētniekiem atsaukties uz security.txt failu, lai iegūtu visjaunāko informāciju par drošības ievainojamību ziņošanu.

5. Aizliegtās testēšanas metodes

Ir stingri aizliegts izmantot šādas testēšanas metodes:

  • Veikt sociālās inženierijas uzbrukumus;
  • Automatizēti minēt sistēmu un/vai lietotāju paroles (brute-forcing);
  • Izmantot ievainojamības, lai iegūtu, modificētu vai dzēstu informāciju;
  • Mēģināt ietekmēt pakalpojumu pieejamību ar pakalpojuma atteices (DoS vai DDoS) uzbrukumiem;
  • Izmantot ievainojamības, lai piekļūtu sensitīvai informācijai (izņemot minimāli nepieciešamo apjomu, lai pierādītu ievainojamības esamību).


Ja testēšanas laikā jūs sastopaties ar šāda veida informāciju, jums nekavējoties jāpārtrauc testēšana un jāziņo par atklājumu Atbildīgajai personai:

  • Personas identificējošu informāciju;
  • Komercnoslēpumus vai patentētu informāciju;
  • Finanšu informāciju, piemēram, bankas kontu vai norēķinu karšu / kredītkaršu datus.


6. Ziņošana par ievainojamību

Lai ziņotu par ievainojamību, lūdzu, sazinieties ar mūsu drošības incidentu reaģēšanas komandu, rakstot uz e-pastu [email protected]

Ja jūsu ziņojumā ir ietverta sensitīva informācija, mēs iesakām izmantot PGP (Pretty Good Privacy) šifrēšanu. Mūsu publisko PGP šifrēšanas atslēgu var iegūt saitē www.request.lv/lv/drosiba

Iesniedzot ziņojumu, lūdzu, norādiet:

  • Detalizētu atklātās ievainojamības aprakstu, tostarp tās atveidošanas soļus;
  • Atklātās ievainojamības darbības jomu, piemēram, skartās sistēmas vai datus;
  • Jebkādus atbalstošus pierādījumus, piemēram, ekrānuzņēmumus vai koncepcijas kodu;
  • Jūsu kontaktinformāciju jautājumu uzdošanai ziņojuma pārskatīšanas un izmeklēšanas laikā.


6. Atbildīgās personas apņemšanās

Atbildīgā persona neuzsāks tiesiskas darbības pret personām, kuras:

  • Ievēro šo politiku ievainojamību testēšanas un ziņošanas laikā;
  • Ievēro savas dzīvesvietas valsts un Latvijas Republikā piemērojamos likumus;
  • Atturas no ievainojamību detaļu publiskas atklāšanas, pirms Atbildīgā persona ir izmeklējusi un atrisinājusi problēmu.


8. Nobeiguma jautājumi

Šī Drošības ievainojamību atklāšanas politika pēc nepieciešamības var tikt mainīta, aktuālajai politikas versijai tiekot publicētai Request tīmekļa vietnē.

Šī Drošības ievainojamību atklāšanas politika ir pieejama Request tīmekļa vietnē arī angļu valodas versijā (www.request.lv/security/vulnerability-disclosure-policy). Neatbilstību vai pretrunu gadījumā starp latviešu un angļu valodas versijām, latviešu valodas versija (www.request.lv/lv/drosiba/ievainojamibu-atklasanas-politika) būs noteicošā visos aspektos.

Jautājumu gadījumā par šo politiku vai ievainojamību ziņošanas procesu ar Atbildīgo personu var sazināties nosūtot ierakstītu vēstuli uz uzņēmuma juridisko adresi: Stabu iela 109 – 1, Rīga, LV-1009, Latvija vai e-pastā: [email protected]

Sekojiet līdzi jaunumiem

Pievienojieties mūsu e-pasta jaunumiem

Neatkarīgi no tā, vai esat uzņēmuma īpašnieks, kas vēlas atjaunot savu tiešsaistes klātbūtni, vai esat topošais izstrādātājs, mūsu e-pasta jaunumi jūs informēs un iedvesmos.