Atsakingas atskleidimas

Ši politika taikoma visiems IT ištekliams, kurie priklauso Torena (toliau – Įmonė) arba yra jos valdomi. Tai apima, bet neapsiriboja, Įmonės internetinėmis svetainėmis, savitarnos sistemomis, API prieigomis, tinklo infrastruktūra ir kitais skaitmeniniais komponentais. Ši politika nėra taikoma klientų naudojamiems ar valdomiems ištekliams, net jei jie veikia Įmonės infrastruktūroje – pavyzdžiui, virtualiems serveriams, privačiam klientų tinklui ar programinei įrangai, įdiegtai jų aplinkose. Politika taip pat netaikoma vidiniams testavimo ar auditavimo procesams.

Šios politikos tikslas – skatinti skaidrų ir konstruktyvų bendradarbiavimą tarp Įmonės ir saugumo tyrėjų, techninių specialistų, klientų ar kitų asmenų, pastebėjusių galimus saugumo pažeidžiamumus. Politika sukurta tam, kad būtų užtikrintas aiškus ir saugus pranešimų teikimo procesas, kuriuo siekiama laiku identifikuoti rizikas ir padėti išvengti galimos žalos.

Identifikuoti pažeidžiamumai, laikomi svarbiais pagal šią politiką, apima atvejus, kurie gali turėti įtakos Įmonės valdomų IT išteklių, tokių kaip savitarnos sistemos, interneto svetainės, API prieigos ar tinklo komponentai, saugumui. Tarp tokių atvejų gali būti:

• netinkamas autentifikacijos ar autorizacijos veikimas (pvz.: galimybė apeiti prieigos kontrolę).
• prieiga prie neleistinos informacijos ar kito vartotojo duomenų.
• pažeidžiamumai, susiję su įprastais atakos vektoriais (pvz.: SQL injection, XSS, CSRF, SSRF).
• nesaugios ar klaidingos konfigūracijos (pvz.: silpni slaptažodžiai, pavojingi numatytieji nustatymai).
• neteisingi prieigos teisių nustatymai ar atviri sistemų prievadai.
• jautrios informacijos perdavimas be tinkamo šifravimo.
• aktyvus derinimo (debug) režimas gamybinėje aplinkoje.

Šis sąrašas nėra baigtinis. Jei kyla abejonių dėl rasto elgesio reikšmingumo ar atitikties saugumo standartams, rekomenduojama susisiekti su Įmone šioje politikoje nurodytais kontaktais.

Pranešimai apie pažeidžiamumus teikiami el. paštu security@torena.lt. Jei įmanoma, prašome pateikti šią informaciją:

• aiškų pažeidžiamumo aprašymą ir potencialų poveikį.
• veiksmus, kaip pakartoti (step-by-step).
• naudotus įrankius ar scenarijus (jei taikoma).
• techninius žurnalus, pavyzdines užklausas ar atsakymus.
• (neprivaloma) pasiūlymą, kaip būtų galima ištaisyti.

Jei norite užtikrinti saugų pranešimo perdavimą, rekomenduojame naudoti Įmonės viešąjį PGP raktą, kurį galite rasti oficialioje svetainėje arba pagal užklausą.

Tikimės, kad pranešėjai veiks atsakingai, etiškai ir proporcingai, laikydamiesi šių principų:

• susilaikys nuo veiksmų, galinčių trikdyti paslaugų veikimą ar pakenkti kitiems naudotojams.
• nenaudos rasto pažeidžiamumo neleistinam duomenų gavimui ar modifikavimui.
• nebandys atlikti DoS atakų, socialinės inžinerijos ar fizinės prieigos veiksmų.
• nesiims jokių veiksmų, kurie pažeistų taikomus teisės aktus.
• neskelbs informacijos apie pažeidžiamumą viešai, kol Įmonė nepateiks sutikimo ar jis nebus ištaisytas.
• palaikys konfidencialumą ir bendradarbiaus su Įmone išsprendžiant aptiktą problemą.

Įmonė pasilieka teisę bet kada atnaujinti ar keisti šią politiką. Atnaujinimai gali būti atliekami siekiant atitikti teisinių reikalavimų, vidaus procesų ar paslaugų pokyčius. Naujausia šios politikos versija visada skelbiama Įmonės interneto svetainėse.

Jei veikiate sąžiningai, laikydamiesi šios politikos sąlygų ir nesiekiate pakenkti Įmonei, klientams ar infrastruktūrai, Įmonė nelaikys Jūsų veiksmų pažeidimu ar pagrindu teisinių veiksmų inicijavimui. Ši politika neturėtų būti interpretuojama kaip leidimas atlikti išplėstinį saugumo testavimą ar įsibrovimo veiksmus – visi veiksmai turi būti proporcingi, nekenksmingi ir nepažeidžiantys duomenų ar paslaugų vientisumo. Įmonė pasilieka teisę vertinti kiekvieną atvejį individualiai ir bendradarbiaus su atsakingais pranešėjais sprendžiant problemas.