EN

Положение о программах, проводимых на платформе Standoff 365 Bug Bounty

Настоящее положение о программах, проводимых на платформе bugbounty.standoff365.com (далее — Положение), регулирует порядок организации и проведения таких программ.

Термины

Клиент
Юридическое лицо, по заданию которого организовывается Программа
Организатор
Акционерное общество «Позитивные Технологии», ОГРН 1127746201087, адрес местонахождения: 107061, Россия, г. Москва, Преображенская пл., д. 8, помещ. 60.
Отчет
Электронный документ, который Участник предоставляет Организатору путем заполнения формы в личном кабинете на Платформе, содержащий результат и описание выполненного задания Программы.
Платформа
Сайт, расположенный по адресу bugbounty.standoff365.com
Победитель
Участник Программы, в отношении которого было принято решение о выплате вознаграждения.
Программа
Программа по поиску уязвимостей в Продукте Клиента, размещенная на Платформе.
Продукт
Информационная система, веб-сервис, приложение, программное обеспечение или другой продукт, принадлежащий Клиенту либо в отношении которого Клиент обладает всеми необходимыми правами для участия в Программе, и проверяемый Участниками в ходе Программы.
Участник
Дееспособное физическое лицо, достигшее 18 лет (либо 14 лет при наличии письменного согласия законных представителей такого лица на участие в Программе и на соблюдение условий настоящего Положения), действующее от своего имени и желающее участвовать в Программе.
Участниками не могут являться лица, задействованные в организации и проведении Программы, члены их семей, авторы анализируемого в рамках Программы кода.
Участником также может быть самозанятый гражданин, применяющий в своей деятельности специальный налоговый режим (в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход»), либо индивидуальный предприниматель.
Уязвимость
Технический недостаток в Продукте Клиента с использованием которого возможно нарушить его нормальную работу, целостность, доступность, конфиденциальность и (или) реализовать недопустимое событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности.
 

Организатор Программ

  1. Организатор размещает каждую Программу по заданию Клиента согласно требованиям и условиям, определяемым Клиентом. Такие требования и условия Организатор публикует на странице Программы на Платформе.
  2. Для каждого Клиента на Платформе может быть размещено одновременно несколько Программ.

Общие положения об участии в Программе

  1. Для участия в Программе Участнику необходимо зарегистрироваться на Платформе в порядке, предусмотренном условиями использования платформы Standoff 365.
  2. Участник, используя функциональность личного кабинета на Платформе, отправляет Отчет в соответствии с условиями Программы. В Отчете должны быть указаны название и описание Уязвимости. Он также может содержать:
    • информацию об уровне опасности Уязвимости (за исключением сообщения о недопустимом событии);
    • CVE — Common Vulnerabilities and Exposures (идентификационный номер Уязвимости вида «CVE-год-номер», описание и ряд общедоступных ссылок с описанием);
    • CWE (Common Weakness Enumeration) — общий перечень дефектов (недостатков) безопасности;
    • прикрепленные файлы.
  3. Победителями могут стать только те Участники Программы, которые выполнили условия Программы и сообщили, путем размещения Отчета на Платформе, о неизвестных ранее Уязвимостях в Продукте Клиента. Отчету, содержащему данные о ранее известной Клиенту Уязвимости, может быть присвоен статус «Дубликат», если:
    • ранее другой Участник Программы отправил аналогичный Отчет (даже если Отчеты описывают разные векторы использования одной и той же Уязвимости);
    • Отчет представляет собой описание Уязвимости, которая ранее была известна сотрудникам Клиента или его подрядчикам, что было обозначено явным образом (например, сделана запись в системе отслеживания ошибок);
    • Отчет представляет собой описание эксплуатации Уязвимости 0-day или 1-day, о которой Клиенту стало известно из общедоступных источников до того, как Участник сдал Отчет.
  4. Результаты проверки Отчетов объявляются на протяжении всего времени действия Программы. Отчет оценивается в срок не более 90 (девяноста) дней с даты его размещения Участником на Платформе.
  5. Описание задания, критерии и порядок оценки результатов поиска Уязвимостей, срок проведения Программы и представления результатов поиска Уязвимостей, размер и форма вознаграждения Участника определяются на странице Программы, размещенной на Платформе.
  6. Организатор публикует списки Победителей на Платформе.
  7. Победитель не возражает против использования Отчета и содержащейся в нем информации, без каких-либо ограничений, Организатором, Клиентом, а также уполномоченными Клиентом лицами, с момента загрузки Отчета на Платформу.
  8. Организатор оставляет за собой право изменить условия Программы в одностороннем порядке.
  9. Организатор не несет ответственности за взаимодействие между Клиентом и Участником.

Ответственное разглашение информации

  1. Участник, который обнаружил Уязвимость в процессе участия в Программе, но не в Продукте Клиента, должен придерживаться правил ответственного разглашения информации об Уязвимости, и следующих требований:
    • Участник должен уведомить юридическое лицо, являющееся правообладателем программного обеспечения и (или) базы данных, включенных в информационную систему Клиента (далее — Правообладатель), в соответствии с политикой раскрытия сведений об уязвимостях Правообладателя. Если такую политику найти не удается, то Участник должен связаться с Правообладателем по электронной почте или другим доступным способом.
    • Участник должен подождать не менее чем 90 (девяносто) дней, чтобы Правообладатель смог выпустить исправление Уязвимости. Продлить этот срок возможно по договоренности с Правообладателем.
    • Дополнительно Участник должен отправить электронное письмо Правообладателю с напоминанием на 30-й (тридцатый) и 60-й (шестидесятый) дни после первоначального уведомления.
    • Если Участник не получил ответа от Правообладателя в течение 90 (девяноста) дней, то он вправе на свое усмотрение публично раскрыть данные о найденной Уязвимости, но только при условии, что раскрываемая информация не позволит другим лицам воспользоваться такой Уязвимостью.
    • Если Правообладатель выпускает исправление Уязвимости в срок до 90-го (девяностого) дня, Участник вправе при соблюдении требований, указанных выше, опубликовать данные о найденной Уязвимости сразу после выпуска Правообладателем исправления.
    • Участник должен соблюдать конфиденциальность данных о найденной Уязвимости в течение 90 (девяноста) дней и не раскрывать их без разрешения Правообладателя.
  2. Если Участник обнаружил Уязвимость у Правообладателя, являющегося Клиентом, он должен сообщить о ней, направив Отчет в соответствии с условиями Положения. Во избежание сомнений п. 4.1. Положения в таком случае не применяется. Участник не вправе разглашать какие-либо сведения об Уязвимости, обнаруженной у Клиента, при отсутствии согласия Клиента на такое разглашение.

Вознаграждение

  1. Организатор предоставляет Победителю вознаграждение в денежной форме.
  2. Победители получают вознаграждение в пределах сумм, указанных на странице Программы, размещенной на Платформе. Клиент и Организатор самостоятельно определяют размер вознаграждения. Оно может быть изменено либо отменено Клиентом и Организатором в одностороннем порядке. Клиент и Организатор вправе принять решение о выплате вознаграждения в размере, превышающем максимальную сумму, предусмотренную за найденную Уязвимость.
  3. Размер вознаграждения Победителя зависит от уровня опасности Уязвимости, простоты ее эксплуатации и от ее воздействия на данные пользователей Продукта Клиента.
  4. Организатор выплачивает вознаграждение при предоставлении Победителем информации и документов, перечисленных в п. 6.2. Положения, не позднее чем в течение 30 (тридцати) календарных дней с даты сообщения Организатором о положительной оценке Отчета.
  5. Порядок выплаты вознаграждения определен в разделе 6 настоящего Положения.
  6. Вознаграждение включает в себя применимые в соответствии с законодательством Российской Федерации налоги.
  7. Вознаграждение не выплачивается Победителю в следующих случаях:
    • Участник не предоставил документы и информацию, перечисленные в разделе 6 Положения, в полном объеме в течение 90 (девяноста) календарных дней с даты сообщения Организатором о положительной оценке отчета;
    • Победитель предоставил Организатору недостоверную, неполную или заведомо ложную информацию;
    • Участник отказался регистрироваться на сервисе «Консоль», если такая регистрация предусмотрена Положением; или
    • в иных случаях, указанных в Положении.

Порядок выплаты вознаграждения

  1. В случае, когда принято решение о выплате вознаграждения Победителю, Организатор направляет Победителю уведомление о выплате на контактный адрес электронной почты Победителя, указанный в личном кабинете на Платформе.
  2. Организатор выплачивает вознаграждение Победителю в течение 30 (тридцати) календарных дней с момента уведомления Победителя в соответствии с п. 6.1. Положения при соблюдении Победителем условий настоящего Положения. В случае, если Организатор выплачивает вознаграждение с использованием платёжных сервисов, Победитель обязан предоставить всю необходимую информацию и зарегистрироваться в соответствии с правилами соответствующего сервиса.
  3. Для получения вознаграждения Победителю необходимо выполнить следующие действия:
    1. В личном кабинете на Платформе Победитель должен указать информацию о статусе и применимом режиме налогообложения.
      Если Победитель участвует в Программе в статусе физического лица:
    2. Победителю необходимо указать следующую информацию в личном кабинете на Платформе:
      а) фамилия, имя и отчество без сокращений;
      б) дата рождения;
      в) платежные реквизиты: БИК банка получателя, банк получателя, корреспондентский счет, ИНН банка получателя, счет получателя, наименование получателя;
      г) паспортные данные Участника: серия, номер, дата выдачи, код подразделения, кем паспорт выдан, адрес регистрации;
      д) ИНН (при наличии).
    3. Если Победитель не достиг возраста 18 лет, то он обязан предоставить Организатору письменное согласие законных представителей на участие в Программе и на соблюдение условий настоящего Положения.
    4. Организатор оставляет за собой право запросить у победителя скан-копию заграничного паспорта, включая скан-копии страниц с отметками о пересечении границы Российской Федерации.
    5. Если определить страну налогового резидентства Победителя невозможно в связи с недостаточностью предоставленной Победителем информации, Организатор вправе уменьшить получаемое Победителем — физическим лицом вознаграждение на сумму НДФЛ (налога на доходы физических лиц) в размере 30%.
    6. Если Победитель действует как физическое лицо, Организатор исчислит сумму НДФЛ, удержит ее из вознаграждения и перечислит в российские налоговые органы.
    7. Организатор выплачивает вознаграждение Победителю путем перевода денежных средств с использованием банковских реквизитов, указанных Победителем на Платформе. Если в течение 30 (тридцати) календарных дней с даты выплаты Организатором вознаграждения от Победителя не поступит уведомления о неполучении такой выплаты, Организатор считается выполнившим свои обязанности по выплате вознаграждения в полном объеме.
    8. Порядок действий и перечень необходимой информации для получения вознаграждения Победителю, являющемуся физическим лицом-гражданином иностранного государства, может отличаться от перечисленного в п.п. 6.3.2. – 6.3.7. Положения и размещается в личном кабинете Участника.
      Если Победитель участвует в Программе в статусе самозанятого лица и применяет в своей деятельности специальный налоговый режим «Налог на профессиональный доход» (в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ):
    9. Победителю необходимо указать следующую информацию в личном кабинете на Платформе:
      а) фамилия, имя и отчество без сокращений;
      б) дата рождения;
      в) ИНН.
    10. Победителю необходимо зарегистрироваться на сервисе «Консоль» в соответствии с п. 6.4. Положения.
    11. Если Победитель является самозанятым лицом и применяет в своей деятельности специальный налоговый режим «Налог на профессиональный доход», в день получения вознаграждения на сервисе «Консоль» формируется чек (в соответствии со ст. 14 Федерального закона от 27.11.2018 № 422-ФЗ). Победитель самостоятельно уплачивает налог с вознаграждения, полученного от Организатора.
    12. Если Победитель, являющийся самозанятым, в течение 2 (двух) последних лет являлся работником Организатора, Организатор выплачивает вознаграждение Победителю как физическому лицу (или индивидуальному предпринимателю при наличии такого статуса у Победителя и предоставлении документов в соответствии с настоящим Положением).
      Если Победитель участвует в Программе в статусе индивидуального предпринимателя:
    13. Победителю необходимо указать следующую информацию в личном кабинете на Платформе:
      а) фамилия, имя и отчество без сокращений;
      б) дата рождения;
      в) ИНН.
    14. Победителю необходимо зарегистрироваться на сервисе «Консоль» в соответствии с п. 6.4. Положения.
    15. Победитель, являющийся индивидуальным предпринимателем, самостоятельно оплачивает налог с вознаграждения, полученного от Организатора, в соответствии с применяемым Победителем режимом налогообложения.
  4. В случаях, предусмотренных настоящим Положением, Победитель обязан зарегистрироваться на сервисе «Консоль», перейдя по ссылке, которая направляется ему через личный кабинет на Платформе. Сделать это нужно, чтобы подписать документы для проведения выплаты и получить вознаграждение. Зарегистрироваться необходимо в течение 5 (пяти) рабочих дней с момента получения уведомления о присуждении вознаграждения в соответствии с п. 6.1. Положения.
  5. В процессе регистрации на сервисе «Консоль» Победитель соглашается:
    • с пользовательским соглашением, расположенным по адресу: konsol.pro/agreement;
    • условиями предоставления персональных данных, расположенными по адресу: konsol.pro/policy.
  6. В процессе регистрации на сервисе «Консоль» Победитель проходит идентификацию с предоставлением персональных данных (фамилия, имя, отчество, паспортные данные, сведения о регистрации, номер телефона, скан-копия документа, удостоверяющего личность). Кроме того, предоставляется фото победителя с паспортом, чтобы подтвердить принадлежность персональных данных конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении сервиса «Консоль». В некоторых случаях могут быть запрошены иные документы — об этом Победителю станет известно в процессе идентификации на сервисе «Консоль».

Ограничения

  1. Для тестирования и демонстрации Уязвимостей Участник вправе использовать только свою учетную запись. Взлом и использование чужих учетных записей запрещены. Участнику также запрещается получать доступ к любым данным третьих лиц.
  2. Участники, раскрывшие сведения об Уязвимостях публично, в том числе любым третьим лицам, и таким образом нарушившие условия раздела 4 Положения, могут быть лишены вознаграждения.
  3. Участникам запрещается:
    • осуществлять физическое вмешательство в инфраструктуру Клиента (в том числе в офисы и вычислительные центры);
    • использовать методы социальной инженерии, направленные на сотрудников Клиента и (или) Организатора;
    • пытаться получить доступ к учетным записям, данным пользователей информационных систем Клиента или к любым другим конфиденциальным сведениям, если это выходит за пределы действий, минимально необходимых для демонстрации найденной Уязвимости;
    • эксплуатировать Уязвимости в производственной среде Клиента, способные привести к нарушению бизнес- и технологических процессов, а также, например, проводить атаки типа «отказ в обслуживании» (DoS-атаки);
    • проникать во внутренние системы веб-сервисов и приложений информационных систем Клиента, не указанных в условиях на странице Программы;
    • целенаправленно выгружать персональные данные граждан из внутренних систем веб-сервисов и приложений информационных систем, а также иных информационных ресурсов Клиента, не указанных в условиях на странице Программы.
  4. Программа должна заканчиваться взломом порталов и (или) сервисов и закреплением на них. Не допускается дальнейшее проникновение Участника во внутренние системы Продукта Клиента.
  5. Если эксплуатация Уязвимости в производственной среде Клиента может привести к нарушению бизнес- и технологических процессов, Участник обязуется воздержаться от таких действий и указать в направляемом им Отчете все данные, необходимые для проверки найденной Уязвимости вне производственной среды.
  6. Если Участник не соблюдает ограничения, предусмотренные разделами 4 и 7 Положения, Организатор вправе заблокировать его аккаунт на Платформе.

Заключительные положения

  1. Настоящее Положение и все отношения, связанные с ним, регулируются правом Российской Федерации.
  2. Регистрация на Платформе в порядке, предусмотренном условиями использования платформы Standoff 365, означает полное и безоговорочное согласие Участника со всеми условиями Программы, Положением, а также политикой конфиденциальности.
  3. Положение может быть изменено Организатором в одностороннем порядке в любое время. Новая редакция Положения вступает в силу с момента ее размещения в сети Интернет по адресу: https://standoff365.com/regulation-on-contests, если иное не предусмотрено новой редакцией Положения. Пользователь считается уведомленным надлежащим образом о произошедших изменениях с момента размещения новой редакции Положения по адресу: https://standoff365.com/regulation-on-contests.
  4. Регистрируясь на Платформе, пользователь Платформы подтверждает, что обязуется самостоятельно следить за изменениями условий Положения и продолжение использования Платформы после внесения изменений в условия Положения будет означать согласие пользователя с такими изменениями.
  5. Основание для обработки персональных данных Участника в рамках его участия в Программе — исполнение Положения и условий использования платформы Standoff 365, стороной которых он является.
  6. Организатор вправе передавать персональные данные Участника Клиентам для участия Участника в Программе и для предоставления ему вознаграждения в случае победы.
  7. Все споры и разногласия, которые возникают в связи с Программой, разрешаются путем переговоров. Спорные вопросы, не урегулированные таким образом, разрешаются в суде по месту нахождения Организатора.