سياسة الإفصاح المسؤول

سياسة الإفصاح المسؤول

 

تسعى شركة سيسال Sisal S.p.A. (المشار إليها فيما يلي بـ Sisal) جاهدةً لضمان امتثال نظام إدارة أمن المعلومات الخاص بها لمعايير ISO/IEC 27001 و WLA SCS-2020. تطلب شركة سيسال من جميع الباحثين الأمنيين الإبلاغ عن أي ثغرات أمنية قد يكتشفونها في منتجات أو خدمات سيسال من أجل حماية المستخدمين وبياناتهم بشكل أفضل. سيتمكن جميع الباحثين الأمنيين من خلال هذه السياسة من فهم كيفية الإبلاغ عن الثغرات الأمنية.

 

1.1 الإبلاغ عن الثغرات الأمنية

 

للإبلاغ عن ثغرة أمنية، يجب اتباع الإجراء التالي:

 

- أكمل نموذج تقديم البلاغ المتاح عبر قنواتنا الرقمية;

- تقديم وصف تفصيلي للثغرة، بما في ذلك خطوات إعادة إنتاجها;

- إرفاق أي لقطات شاشة أو مقاطع فيديو أو رموز اختبار ذات صلة;

- إرسال التقرير.

 

يمكن العثور على نموذج تقديم التقرير في صفحة مخصصة لإدارة التقارير. ستحتاج بعد ذلك إلى مل

نموذج بالمعلومات التالية:

 

- عنوان الثغرة

- نوع الثغرة

- مستوى الخطورة

- قابلية التكرار

- وصف خطوة بخطوة (بما في ذلك إشارة إلى الخدمة المتأثرة أو عناوين URL أو عناوين IP)

- النتيجة المتوقعة

- النتيجة التي تم الحصول عليها

- تاريخ ووقت اكتشاف الثغرة الأمنية

- تعليقات أخرى

- الصور/مقاطع الفيديو

 

إرشادات للباحثين الأمنيين

 

تطلب سيزال من جميع الباحثين اتباع الإرشادات التالية بعناية والامتثال للوائح المعمول بها من أجل تجنب الانتهاكات أو المخالفات الحاسوبية المحتملة التي يعاقب عليها النظام القانوني (بما في ذلك عقوبة السجن). على سبيل المثال لا الحصر

 

- عدم استغلال الثغرة أو المشكلة المكتشفة;

- عدم القيام بأنشطة يمكن أن :

o الإضرار بسيزال;

o إلحاق الضرر بمستخدميها

o حجب نظام أو خدمة سيزال;

o أن تؤدي إلى فقدان البيانات.

- الحفاظ على سرية جميع المعلومات المتعلقة بالثغرات المكتشفة، ما لم يتم الاتفاق المتبادل;

- تجنب انتهاك الخصوصية. التفاعل فقط مع الحسابات التي تخصك;

- توخي الحذر والاعتدال في التعامل مع البيانات الشخصية وعدم الانخراط عمدًا في هجمات ضد أطراف ثالثة أو هجمات الهندسة الاجتماعية أو هجمات الحرمان من الخدمة أو الهجمات المادية على ممتلكات سيسال أو الرسائل غير المرغوب فيها;

- عدم التداخل مع المستخدمين الآخرين;

- عدم استخدام ماسحات الثغرات الشائعة. يجب أن يكون فحص الثغرات يدويًا، على الرغم من السماح باستخدام الأدوات ذات الاستعلامات الآلية إذا كانت محدودة بـ 5 استعلامات في الثانية. بالإضافة إلى ذلك، سيُطلب من الباحثين

- تقديم الوثائق باللغة الإنجليزية;

- استخدام معرّفات تحدد هويتهم كباحثين أمنيين (على سبيل المثال في السجلات والاستعلامات وتفاصيل الحساب);

- ألا يقل عمر الباحث عن 18 عامًا;

- الامتثال لجميع القوانين المحلية والوطنية المعمول بها.

 

عند الامتثال لهذه القواعد، تتعهد سيزال بما يلي:

 

- الاستجابة في البداية ومعالجة البلاغ في غضون أيام عمل قليلة;

- عدم اتخاذ إجراءات قانونية ضد الباحثين الأمنيين الذين يبلغون عن الثغرات الأمنية وفقًا لهذه السياسة;

- عدم تمرير البيانات الشخصية إلى أطراف ثالثة، ما لم يكن ذلك مطلوبًا قانونًا;

- إبلاغ الباحثين بالتقدم المحرز وحل الثغرات المكتشفة;

- في حالة وجود تقارير مكررة، ستأخذ سيسال بعين الاعتبار التقرير الأول الذي تتلقاه (شريطة أن يكون بالإمكان إعادة إنتاجه بالكامل).

 

1.3 أنواع الثغرات الأمنية

 

تهتم سيسال بشكل خاص بنقاط الضعف التي يمكن أن تهدد سرية أو سلامة أو توافر بيانات المستخدم أو تعطل التشغيل العادي للمنصات.

من المرجح أن تقع أي مشكلة في التصميم أو التنفيذ تؤثر بشكل كبير على سرية أو سلامة بيانات المستخدم ضمن نطاق البرنامج. وتشمل الأمثلة الشائعة ما يلي:

 

البرمجة النصية عبر المواقع (XSS) ;

- تزوير الطلبات عبر المواقع (CSRF);

- عيوب المصادقة أو التخويل ;

- تزوير الطلبات من جانب الخادم (SSRF);

- حقن القالب من جانب الخادم (SSTI);

- حقن SQL (SQLI);

- ثغرات الكيان الخارجي XML (XXE);

- تنفيذ التعليمات البرمجية عن بعد (RCE);

- حقن الملفات المحلية أو البعيدة.

 

  •  1.4 العناصر التي لا تعتبر ثغرة (خارج النطاق)

 

  • الرسائل غير المرغوب فيها عن طريق البريد الإلكتروني/ الرسائل النصية القصيرة أو تقنيات الهندسة الاجتماعية على الموظفين والمقاولين من الباطن والتجار;
  • - هجمات DDoS أو هجمات DDoS;
  • - نقاط الضعف المحتملة في تطبيقات/خدمات الطرف الثالث المدمجة في منصات سيسال;
  • - حقن المحتوى. يعد نشر المحتوى على البوابة وظيفة أساسية، لذلك لا يتم النظر في حقن المحتوى (المعروف أيضًا باسم ”انتحال المحتوى“ أو ”حقن HTML“) ما لم يتم إثبات وجود خطر واضح;
  • - التقارير عن الأعطال المفاجئة على تطبيقات الهاتف المحمول التي لا يمكن إعادة إنتاجها على الإصدارات المحدّثة من نظام التشغيل أو على الأجهزة المحمولة التي تم إصدارها خلال الـ 24 شهرًا الماضية;
  • - النقر على الصفحات التي لا تحتوي على إجراءات/بيانات حساسة;
  • - تزوير الطلبات عبر المواقع (CSRF) على النماذج غير المصادق عليها أو النماذج التي لا تحتوي على إجراءات/بيانات حساسة;
  • - الهجمات التي تتطلب MITM (رجل في الوسط) أو الوصول المادي إلى جهاز المستخدم;
  • - تكوين SSL/TLS غير صحيح;
  • - سياسات كلمة المرور والبريد الإلكتروني والحساب (مثل التحقق من الهوية عبر البريد الإلكتروني، وتعقيد كلمة المرور);
  • - تحديد المعدل أو القوة الغاشمة على نقاط النهاية دون مصادقة;
  • - عدم وجود إشارات httpsOnly أو إشارات آمنة على ملفات تعريف الارتباط;
  • - الكشف عن إصدار البرنامج / تحديد البانر / رسائل الخطأ أو الرؤوس المطوّلة (مثل تتبع المكدس أو أخطاء التطبيق أو الخادم) ;
  • - الأبواب الخلفية ;
  • - حقن الأوامر (في حالة وجود ثغرة في حقن الأوامر، ما عليك سوى إظهار إخراج أوامر المعرف أو اسم المضيف وإيقاف الاستغلال عند هذه النقطة).
  • تنبيه: عند تحليل التطبيقات التي يستضيفها مزودو الخدمات السحابية (CSPs)، يجب دائمًا قراءة قواعد الاشتباك الخاصة بمزودي الخدمات السحابية بعناية والامتثال لها. على سبيل المثال
  • - قواعد مشاركة AWS: https://aws.amazon.com/security/penetration-testing/
  • - قواعد مشاركة Azure: https://www.microsoft.com/en-us/msrc/pentest-rules-of-engagement
  • - قواعد مشاركة Google Cloud: https://cloud.google.com/security/overview/
  • (هذه مجرد أمثلة، حدد دائمًا مزود خدمة العملاء واتبع قواعد المشاركة الخاصة به)
  • نشرت الوكالة الأوروبية للأمن السيبراني التابعة للاتحاد الأوروبي (ENISA) خريطة لسياسات الكشف عن الثغرات الأمنية الوطنية في الدول الأعضاء في الاتحاد الأوروبي. في هذا الرابط، ستجد توصياتهم: https://www.enisa.europa.eu/news/enisa-news/coordinated-vulnerability-disclosure-policies-in-the-eu

 

- 1.5 منصة الإبلاغ والمكافآت

 

لا تقدم سيزال آلية للمكافآت، ولكن قد تمنح الشركة مكافأة بناءً على خطورة الثغرة وتأثيرها. وبالتالي، فإن أي مكافأة يتم منحها تخضع لتقدير الشركة وحدها وتعتمد على عوامل مثل التأثير المحتمل للثغرة وأصالة النتيجة وجودة التقرير.

تحتفظ سيزال أيضًا بالحق في تحديث سياسة الإفصاح المسؤول هذه في أي وقت.

 

للإبلاغ عن أي ثغرة أو خطأ، انقر على هذا الرابط واملأ المعلومات المطلوبة.

promo العروض الترويجية
MDJSjeux APP

MDJSjeux تحميل التطبيق الرسمي

MDJSjeux تطبيق

في شريط القائمة

مررالصفحة إلى أسفل والضغط على شاشة الرئسية