Ответственное раскрытие информации

1. Объём

Настоящая Политика охватывает системы и домены, принадлежащие IntelligenceX и эксплуатируемые ей, включая intelligencex.org и наши продуктовые платформы. Она не разрешает тестирование систем наших клиентов или любых третьих лиц. Работы с клиентами всегда регулируются отдельным подписанным соглашением.

2. Как сообщить

Отправьте ваши находки по адресу incident@intelligencex.org. Пожалуйста, включите достаточно подробностей, чтобы мы могли воспроизвести проблему, например затронутый URL или компонент, описание уязвимости и чёткие, неразрушающие шаги для её воспроизведения. По возможности шифруйте конфиденциальные сведения и избегайте их передачи третьим лицам.

3. Рекомендации для исследователей

• Прилагайте добросовестные усилия, чтобы избегать нарушений конфиденциальности, уничтожения данных и нарушения работы услуг.
• Взаимодействуйте только с учётными записями, которыми вы владеете или на тестирование которых у вас есть явное разрешение.
• Не получайте доступ к данным, не изменяйте и не извлекайте их сверх того, что необходимо для демонстрации проблемы.
• Предоставьте нам разумное время для расследования и устранения проблемы до какого-либо публичного раскрытия.

4. Вне объёма

• Атаки типа «отказ в обслуживании», а также объёмное или нагрузочное тестирование.
• Социальная инженерия в отношении наших сотрудников, клиентов или поставщиков.
• Физические атаки на наши офисы или центры обработки данных.
• Сообщения от автоматизированных сканеров без продемонстрированного, эксплуатируемого воздействия.

5. Наши обязательства

Мы стремимся оперативно подтверждать получение действительных сообщений, информировать вас о ходе устранения и отмечать исследователей, желающих быть признанными, после устранения проблемы. Машиночитаемая версия нашего контакта по вопросам безопасности опубликована по адресу /.well-known/security.txt.

6. Контакты

Отправляйте сообщения об уязвимостях и проблемы безопасности по адресу incident@intelligencex.org.