В Talya Bilişim мы высоко ценим поддержку исследователей ИТ-безопасности и членов сообществ кибербезопасности, которые помогают нам поддерживать наши высокие стандарты ИТ-безопасности.

Если вы обнаружите уязвимость в ИТ-безопасности, связанную с любым из наших веб-сайтов, пожалуйста, незамедлительно сообщите нам об этом, прежде чем раскрывать уязвимость внешнему миру, чтобы мы могли принять необходимые меры. Это известно как ответственное раскрытие информации.

Пожалуйста, держите всю информацию, относящуюся к обнаруженной уязвимости, в секрете от всех третьих сторон в течение как минимум 90 дней, что позволит нам определить и принять меры, необходимые для решения проблемы, о которой вы сообщили.

В настоящее время сфера охвата отчетности включает следующие веб-сайты:

основной веб-сайт Elektraweb : www.elektraweb.com

веб-сайт Elektraweb PMS : app.elektraweb.com

Как вы уведомляете нас?

Если вы выявили уязвимость в системе безопасности, пожалуйста, действуйте следующим образом:

Отправьте нам свое уведомление как можно скорее по электронной почте на адрес [email protected]

Пожалуйста, включите в свой отчет следующую информацию:

ваши контактные данные (например, имя, адрес электронной почты и т.д.)
тип обнаруженной уязвимости,
служба/устройство /приложение, на которые повлияла уязвимость
, подробное описание возникшей проблемы
, IP-адреса, с которых была обнаружена уязвимость безопасности, вместе с датой и временем обнаружения
сжатый архив (zip) с любыми файлами, которые могут помочь в воспроизведении дефекта (например, скриншоты, изображения, текстовые файлы с подробным описанием, исходный код, скрипты, журналы, исходные IP-адреса и т.д.).

Пожалуйста, действуйте ответственно в связи с обнаружением вами выявленной уязвимости в системе безопасности. Не предпринимайте никаких действий, выходящих за рамки того, что необходимо для выявления и проверки проблемы. Пожалуйста, не используйте выявленную уязвимость в системе безопасности в своих интересах и избегайте хранения любых конфиденциальных данных, полученных в результате этой проблемы.

Примеры уязвимостей, которые мы рассмотрим

• Уязвимости внедрения и десериализации (внедрение SQL, внедрение команд, десериализация объектов)
• Уязвимости с нарушенной аутентификацией и нарушением контроля доступа (неправильная реализация аутентификации, управление сеансами, контроль доступа)
• Раскрытие конфиденциальных данных (уязвимости, которые могут привести к утечке данных)
• Межсайтовый скриптинг
• Подделки межсайтовых запросов
• Подделки запросов на стороне сервера
• Перенаправление уязвимостей
• Недостаточно защищенный API

Примеры уязвимостей мы рассматривать не будем

• Мы постоянно отслеживаем наши ресурсы, доступные в Интернете, для выявления проблем безопасности и неправильных настроек, и поэтому убедительно просим вас не сообщать о следующих элементах, если они не приводят к фактическому использованию:
• Слабые конфигурации протокола TLS
• Сообщения о несоблюдении рекомендаций (например, для конфигурации SPF/DKIM/DMARC, политики безопасности контента, неправильных настроек TLS)
• Вывод хорошо известных автоматизированных инструментов/решений.

Как мы отреагируем?

Если вы сообщите об уязвимости в системе безопасности, связанной с любым из наших веб-сайтов, указанных выше, мы обработаем ваш отчет следующим образом.

• Мы подтвердим получение вашего отчета в течение двух рабочих дней.
• Мы отправим вам наш ответ в течение пяти рабочих дней после подтверждения получения с изложением нашей оценки проблемы и ожидаемой даты разрешения. В некоторых особых обстоятельствах мы оставляем за собой право продлить этот период, направив соответствующее уведомление.
• Мы будем рассматривать ваш отчет как конфиденциальный и не будем передавать ваши данные третьим лицам, за исключением случаев, когда это необходимо по закону.

В настоящее время мы не запускаем программу вознаграждения за сообщения об уязвимостях.

Заявление о конфиденциальности

Вы можете ознакомиться с заявлением о конфиденциальности для получения дополнительной информации о том, как мы обрабатываем ваши персональные данные в рамках Программы ответственного раскрытия информации.