Узгоджена заява щодо інформування про вразливі місця в системі безпеки компанії

Компанія «Viterra» вважає глобальну безпеку онлайн-систем головним пріоритетом. Незважаючи на постійні зусилля, які ми докладаємо для забезпечення захисту системи, вона все ще може мати вразливі місця. Якщо ви виявили потенційну загрозу безпеки, будь ласка, повідомте нам, щоб ми могли вжити заходів для її вирішення.

Порядок дій:

1. Надішліть інформацію про виявлену загрозу за посиланням: https://app.zerocopter.com/en/cvd/623850a7-c366-4da7-849c-b011a6c6aa12
2. Повідомте про вразливість системи якомога швидше для зниження ризиків безпеки.
3. 3вітуйте у спосіб, який гарантує конфіденційність інформації, щоб інші особи не отримали до неї доступ. Наприклад, не розсилайте звіт і не завантажуйте його на загальнодоступний веб-сайт.
4. Надайте достатню інформацію для розуміння та вирішення проблеми. Зазвичай достатньо IP-адреси або URL-адреси враженої системи та опису загрози. Будь ласка, візьміть до уваги, що складніші вразливості можуть потребувати додаткових пояснень.
5. Ретельно дотримуйтесь наших інструкцій після того, як ви надіслали повідомлення про вразливість.

Чого не слід робити:

1. Без необхідності порушувати чинні закони та правила, як під час розслідування, так і під час повідомлення про вразливість чи загрозу.
2. Повідомляти про вразливість або загрозу іншим особам до їх врегулювання.
3. Створювати лазівку в інформаційних онлайн-системах компанї для демонстрації вразливого місця. Це може завдати більшої шкоди та створити непотрібні ризики для безпеки.
4. Користуватися вразливістю довше, ніж необхідно для встановлення її існування.
5. Зловживати або користуватися вразливістю, наприклад, завантажувати, копіювати, змінювати або видаляти дані з системи. Наприклад, створити список каталогів системи замість того, щоб завантажити дані та показати масштаби вразливості.
6. Втручатися або іншим чином вносити зміни чи корективи в систему.
7. Отримувати повторний доступ до системи або ділитися доступом з іншими.
8. Намагатися зламати систему компанії, її фізичний захист або соціальну інженерію, використовувати розподілену відмову в обслуговуванні, спам або додатки третіх осіб для отримання доступу до системи.

Ми обіцяємо:

• Надати відповідь на ваше повідомлення в найкоротші терміни.
• Дозвіл надавати інформацію під псевдонімом або анонімно.
• В міру можливості інформувати вас про хід вирішення питання.
• Вказати вас як першовідкривача при оприлюдненні публічної інформації щодо виявленої проблеми (з вашого дозволу).

Примітка:

На жаль, неможливо заздалегідь гарантувати, що проти вас не буде вжито юридичних заходів. Кожна ситуація розглядається індивідуально. Ми морально зобов'язані повідомити вас, якщо підозрюємо вас у зловживанні вразливістю або даними, або що ви поділилися знаннями про вразливість з іншими. Запевняємо вас, що випадкова знахідка в онлайн-середовищі компнаії не призведе до судового переслідування.