ПОЛУЧИТЬ ДЕМО

Политика раскрытия уязвимостей

SharpSpring от Constant Contact (SharpSpring) очень серьезно относится к безопасности наших платформ и данных наших пользователей. Если вы обнаружили или считаете, что обнаружили потенциальные уязвимости безопасности в сервисе SharpSpring, мы рекомендуем вам как можно быстрее сообщить нам о своем обнаружении в соответствии с этой Программой раскрытия уязвимостей. Обратите внимание, что Программа раскрытия уязвимостей отличается от вознаграждения за обнаружение ошибок. Программа раскрытия уязвимостей позволяет этичным хакерам находить уязвимости и сообщать об уязвимостях, но не предусматривает денежной компенсации. SharpSpring оставляет за собой право принять или отклонить любую заявку.

Safe Harbor

Если вы обнаружите и сообщите об уязвимостях безопасности в соответствии с этой [Программой раскрытия уязвимостей], мы считаем, что это исследование:

  • Авторизовано в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (CFAA) (и/или аналогичными законами штата), и мы не будем инициировать или поддерживать судебные иски против вас за случайные, добросовестные нарушения настоящей Политики добровольного раскрытия информации;
  • Освобождены от действия Закона об авторском праве в цифровую эпоху (DMCA), и мы не будем предъявлять вам иски за обход средств контроля технологий;
  • Освобождается от ограничений в нашем Условия Предоставления Услуг это помешало бы проведению исследований в области безопасности, и мы частично отказываемся от этих ограничений для работы, выполняемой в рамках этой [Программы раскрытия уязвимостей]; а также
  • Законно, полезно для общей безопасности Интернета и проводится добросовестно.

Вы, как всегда, должны соблюдать все применимые законы. Если в любое время у вас возникнут сомнения или вы не уверены, соответствует ли ваше исследование безопасности этой [Программе раскрытия уязвимостей], пожалуйста, свяжитесь с нами, прежде чем двигаться дальше.

Приемлемость

Вы не можете участвовать в этой программе, если вы являетесь сотрудником или членом семьи сотрудника, или текущим поставщиком или сотрудником такого поставщика SharpSpring любой из его дочерних компаний. Вам также запрещено участвовать, если вы (i) находитесь в стране или на территории, которая является объектом санкций США (включая Кубу, Иран, Сирию, Северную Корею или Крымский регион Украины), (ii) обозначены как особо Определенное национальное или заблокированное лицо Управлением по контролю за иностранными активами Министерства финансов США или иным образом принадлежащее, контролируемое или действующее от имени такого физического или юридического лица, или (iii) иным образом запрещенная сторона в соответствии с законами США о торговом и экспортном контроле.

Политика дискреционного раскрытия информации:

Поскольку публичное раскрытие уязвимости системы безопасности может поставить под угрозу все сообщество SharpSpring, мы требуем, чтобы вы сохраняли конфиденциальность таких потенциальных уязвимостей до тех пор, пока мы не сможем их устранить. Таким образом, публичное раскрытие сведений о представлении любой выявленной или предполагаемой уязвимости без явного письменного согласия SharpSpring будет считать представление не соответствующим настоящей Политике раскрытия уязвимостей. 

Обнаружение уязвимостей безопасности

Мы поощряем ответственное исследование безопасности услуг и продуктов SharpSpring. Мы разрешаем вам проводить исследование уязвимостей и тестирование услуг и продуктов SharpSpring, к которым у вас есть авторизованный доступ. Ни при каких обстоятельствах ваши исследования и испытания не должны включать, помимо прочего:

  • Доступ или попытка доступа к учетным записям или данным, которые не принадлежат вам или вашим авторизованным пользователям,
  • Любая попытка загрузить, изменить или уничтожить какие-либо данные,
  • Выполнение или попытка выполнения атаки отказа в обслуживании,
  • Отправка или попытка отправки нежелательной или несанкционированной электронной почты, спама или других форм нежелательных сообщений,
  • Тестирование сторонних веб-сайтов, приложений или сервисов, которые интегрируются с любыми сервисами SharpSpring,
  • Размещение, передача, загрузка, ссылки, отправка или хранение вредоносных программ, вирусов или аналогичного вредоносного программного обеспечения или иные попытки прервать или ухудшить качество услуг SharpSpring.
  • Любая деятельность, нарушающая любой применимый закон.

Сообщение об обнаруженных уязвимостях безопасности

Если вы считаете, что обнаружили проблему уязвимости в системе безопасности, поделитесь подробностями с SharpSpring, заполнив нашу Форма представления. Мы будем работать с вами, чтобы проверить и отреагировать на уязвимости безопасности, о которых вы нам сообщаете. Ваш отчет будет отправлен нашему партнеру (BugCrowd) для своевременного подтверждения и проверки. Вам начисляются баллы за каждый правильно принятый отчет. Вы должны быть первым, кто сообщит об ошибке, чтобы заработать все возможные очки.

Подтвержденные проблемы будут переданы нашим командам разработчиков для исправления в сроки, соответствующие серьезности проблемы (согласно таксономии рейтинга уязвимостей BugCrowd). {https://bugcrowd.com/vulnerability-rating-taxonomy}

Пожалуйста, не отправляйте электронные письма об уязвимостях непосредственно сотрудникам SharpSpring. Переписка по электронной почте между вами и SharpSpring, включая, помимо прочего, электронные письма, которые вы отправляете в SharpSpring, сообщая о потенциальной уязвимости безопасности, не должны содержать никакой вашей конфиденциальной информации. Содержание всех сообщений электронной почты, которые вы отправляете в SharpSpring, не должно считаться собственностью. SharpSpring или любой из его аффилированных лиц могут использовать такие сообщения или материалы для любых целей, включая, помимо прочего, воспроизведение, раскрытие, передачу, публикацию, трансляцию и дальнейшую публикацию.

 

Вне области 

Ниже приведен неполный список проблем, о которых мы просим вас не сообщать, если только вы не считаете, что существует реальная уязвимость:

  • CSRF для форм, доступных анонимным пользователям
  • Раскрытие известных общедоступных файлов или каталогов (например, robots.txt)
  • Рекомендации по настройке расширений безопасности системы доменных имен (DNSSEC)
  • Раскрытие баннера об общих / государственных услугах
  • Рекомендации по настройке заголовка безопасности HTTP/HTTPS/SSL/TLS
  • Отсутствие флагов Secure/HTTPOnly для неконфиденциальных файлов cookie.
  • Подделка межсайтовых запросов на выход (выход из системы CSRF)
  • Фишинг или методы социальной инженерии
  • Наличие функции автозаполнения или сохранения пароля в приложении или веб-браузере.
  • Рекомендации по конфигурации Sender Policy Framework (SPF) и проверке подлинности сообщений на основе домена, отчетности и соответствию (DMARC)

Участвуя в этой программе раскрытия информации об уязвимостях, вы подтверждаете, что прочитали и согласны с положениями SharpSpring. Условия Предоставления Услуг и Конфиденциальность, так же как Стандартные условия раскрытия информации BugCrowd. В случае любого конфликта между Условиями обслуживания SharpSpring и Стандартными условиями раскрытия информации BugCrowd, Условия обслуживания SharpSpring имеют преимущественную силу.