Положение о конкурсах, проводимых на платформе bugbounty.standoff365.com

Настоящее положение о конкурсах, проводимых на платформе bugbounty.standoff365.com (далее — Положение), регулирует порядок организации и проведения таких конкурсов.

Термины

Клиент

Юридическое лицо, по заданию которого организовывается конкурс по поиску уязвимостей.

Конкурс

Конкурс по поиску уязвимостей в веб-сервисах и приложениях клиента и путей реализации недопустимых событий, размещенный на платформе организатора.

Конкурсная комиссия

Круг лиц, состоящий из представителей клиента (не менее двух) и одного представителя организатора, утвержденный для оценки результатов участников конкурса.

Организатор

АО «Позитивные Технологии».

Отчет

Документ, предоставляемый в электронном виде участником организатору путем заполнения формы в личном кабинете на платформе и содержащий результат и описание выполненного задания конкурса.

Победитель

Участник, признанный конкурсной комиссией победившим в конкурсе.

Платформа

Сайт, расположенный по адресу bugbounty.standoff365.com.

Участник

Дееспособное физическое лицо, являющееся налоговым резидентом Российской Федерации согласно действующему законодательству РФ, достигшее восемнадцати лет и действующее от своего имени.

Участниками не могут являться лица, задействованные в организации и проведении конкурса, члены их семей, авторы кода, анализ которого производится участниками в рамках конкурса.

Уязвимость

Технический недостаток в веб-сервисах и приложениях клиента, с использованием которого возможно нарушить их нормальную работу, целостность, доступность, конфиденциальность и (или) реализовать недопустимое событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности.

Организатор конкурсов

  1. Организатором каждого конкурса является АО «Позитивные Технологии» (ОГРН 1127746201087); адрес местонахождения: 107241, Москва, Щелковское шоссе, д. 23А, помещение V, комната 36; почтовый адрес: 107061, Москва, Преображенская пл., д. 8. АО «Позитивные Технологии» организовывает каждый конкурс по заданию клиента согласно требованиям и условиям, определяемым клиентом. Такие требования и условия размещаются организатором на странице конкурса на платформе. Клиент может проводить сразу несколько конкурсов на платформе.

Условия проведения конкурсов

  1. Конкурсы проводятся на платформе. Для участия в конкурсе физическому лицу — участнику конкурса — необходимо зарегистрироваться на странице платформы в порядке, предусмотренном условиями использования платформы Standoff 365.
  2. Участник конкурса, используя функциональность личного кабинета на платформе, отправляет отчет в соответствии с условиями конкурса. Отчет должен содержать название и описание. Он также может содержать:
    • уровень опасности уязвимости (за исключением сообщения о недопустимом событии);
    • CVE — Common Vulnerabilities and Exposures (идентификационный номер уязвимости вида «CVE-год-номер», описание и ряд общедоступных ссылок с описанием);
    • прикрепленные файлы.
  3. Отчет оценивает конкурсная комиссия.
  4. Конкурсная комиссия по собственному усмотрению определяет победителей конкурса для каждого призового места и размер вознаграждения для каждого победителя. Число победителей не ограничено.
  5. Списки победителей, определенных решением конкурсной комиссии, публикуются организатором на платформе.
  6. Награждаются только те участники конкурса, которые выполнили условия конкурса и сообщили конкурсной комиссии о неизвестных ранее уязвимостях в информационной системе клиента. Отчету, содержащему данные о ранее известной конкурсной комиссии уязвимости, может быть присвоен статус «Дубликат» в случае, если:
    • ранее другим участником конкурса был отправлен аналогичный отчет (даже если отчеты описывают разные векторы использования одной и той же уязвимости);
    • отчет представляет собой описание уязвимости, которая ранее была известна сотрудникам клиента или его подрядчикам, и это было обозначено явным образом (например, сделана запись в системе отслеживания ошибок);
    • отчет представляет собой описание эксплуатации уязвимости 0-day или 1-day, о которой конкурсной комиссии стало известно из общедоступных источников до сдачи участником отчета.
  7. Результаты проверки отчетов объявляются на протяжении всего конкурса. Оценка таких результатов проводится конкурсной комиссией в срок не менее 90 (девяноста) дней с даты получения от участника конкурса отчета об уязвимости, обнаруженной в информационной системе клиента.
  8. Для принятия решения конкурсной комиссии необходим кворум. Требуется согласие трех представителей конкурсной комиссии, один из которых — представитель организатора. Решение о присуждении вознаграждения победителю конкурса оформляется протоколом конкурсной комиссии.
  9. Описание задания, критерии и порядок оценки результатов поиска уязвимостей, срок проведения конкурса и представления результатов поиска уязвимостей, размер и форма вознаграждения участника конкурса определяются на странице конкурса, размещенного на платформе.
  10. Победитель соглашается, что, представляя организатору отчет, он передает исключительные права на любые результаты интеллектуальной деятельности, созданные им в процессе участия в конкурсе, организатору. Исключительные права на результаты интеллектуальной деятельности отчуждаются в полном объеме на весь срок действия таких прав.
  11. Для выполнения участником условий конкурса организатор безвозмездно предоставляет участнику на весь срок проведения конкурса простую (неисключительную) лицензию на программное обеспечение в объеме, необходимом и достаточном для выполнения условий конкурса и исключительно для поиска в таком программном обеспечении уязвимостей и способов их эксплуатации.
  12. Организатор оставляет за собой право изменить условия проведения конкурса.

Ответственное разглашение информации

  1. Если участник обнаружил уязвимость в рамках участия в конкурсе, то он должен придерживаться правил ответственного разглашения и предпринять следующие шаги:
    • Уведомить юридическое лицо, являющееся правообладателем программного обеспечения и (или) базы данных, включенных в информационную систему клиента (далее — Правообладатель), в соответствии с политикой раскрытия уязвимостей Правообладателя. Если такую политику найти не удается, то участник должен связаться с Правообладателем по электронной почте или другим доступным способом.
    • Участник должен ожидать не менее чем 90 (девяносто) дней, чтобы Правообладатель смог выпустить исправление уязвимости. Продление этого срока возможно по договоренности с Правообладателем.
    • Дополнительно участник должен отправить электронное письмо Правообладателю с напоминанием на 30-й (тридцатый) и 60-й (шестидесятый) дни после первоначального уведомления.
    • Если участник не получает ответа от Правообладателя в течение 90 (девяноста) дней, то он вправе на свое усмотрение публично раскрыть данные о найденной уязвимости, но только при условии, что раскрываемая информация не позволит другим лицам воспользоваться такой уязвимостью.
    • Если Правообладатель выпускает исправление уязвимости в срок до 90-го (девяностого) дня, участник вправе при условии соблюдения требований, указанных выше, опубликовать данные о найденной уязвимости сразу после выпуска Правообладателем исправления.
    • Участник должен соблюдать конфиденциальность данных о найденной уязвимости в течение 90 (девяноста) дней и не раскрывать их без разрешения Правообладателя.
  2. Если уязвимость обнаружена у Правообладателя, который является клиентом, то участник сообщает о такой уязвимости, направив отчет в соответствии с условиями Положения. В этом случае соблюдение требований, установленных пунктом 4.1. Положения, не требуется.

Вознаграждение

  1. Вознаграждение предоставляется организатором конкурса в денежной форме.
  2. Победители получают вознаграждение в пределах сумм, указанных клиентом на странице конкурса, размещенного на платформе. Конкурсная комиссия вправе принять решение о выплате вознаграждения в размере, превышающем максимальную сумму, предусмотренную за найденную уязвимость.
  3. Размер вознаграждения победителя зависит от опасности уязвимости, простоты ее эксплуатации и от ее воздействия на данные пользователей информационной системы клиента. Комиссия определяет размер вознаграждения победителя.
  4. Организатор оставляет за собой право изменять размер вознаграждения по запросу клиента.
  5. Выплата вознаграждения осуществляется организатором при предоставлении победителем информации и документов, перечисленных в п. 6.2. Положения, не позднее 30 (тридцати) календарных дней с даты сообщения конкурсной комиссией о положительной оценке отчета, представленного участником.
  6. Порядок выплаты вознаграждения определен в разделе 6 Положения.
  7. Вознаграждение включает в себя налог на доходы физических лиц (НДФЛ), который в соответствии с законодательством РФ будет исчислен и удержан из вознаграждения победителя и перечислен в российские налоговые органы организатором.
  8. Вознаграждение не выплачивается победителю в случае непредоставления участником документов и информации, перечисленных в п. 6.2. Положения, в полном объеме, а также в случае предоставления победителем организатору недостоверной, неполной или заведомо ложной информации или в случае иных нарушений Положения.

Порядок выплаты вознаграждения

  1. Выплата вознаграждения победителю осуществляется организатором конкурса путем перевода денежных средств с использованием банковских реквизитов, указанных победителем на платформе. Выплата вознаграждения возможна только на счета, открытые в российских банках, после удержания НДФЛ. В случае если в течение 30 (тридцати) календарных дней с даты совершения организатором выплаты вознаграждения от участника не поступит уведомления о неполучении такой выплаты, организатор считается выполнившим свои обязанности по выплате вознаграждения в полном объеме.
  2. Для получения вознаграждения победителю необходимо указать следующую информацию в личном кабинете на платформе:
    • Фамилия, имя и отчество без сокращений.
    • Дата рождения.
    • Платежные реквизиты: БИК банка получателя, банк получателя, корреспондентский счет, ИНН банка получателя, счет получателя, наименование получателя.
    • Паспортные данные гражданина РФ: серия, номер, дата выдачи, код подразделения, кем паспорт выдан, адрес регистрации.
    • ИНН.
    • Организатор оставляет за собой право запросить у победителя скан-копию паспорта, включая скан-копии страниц с отметками о пересечении границы РФ.
  3. В случае если организатор не может определить страну налогового резидентства победителя в связи с недостаточностью предоставленной победителем информации, организатор вправе уменьшить получаемое победителем вознаграждение на сумму НДФЛ в размере 30%.
  4. Если победитель предоставит недостоверную информацию о стране, налоговым резидентом которой он является, организатор вправе заблокировать его аккаунт.

Ограничения

  1. Для тестирования и демонстрации уязвимостей участник вправе использовать только свою учетную запись. Взлом и использование чужих учетных записей запрещены. Участнику также запрещается получать доступ к любым данным третьих лиц.
  2. Участники, раскрывшие сведения об уязвимостях публично, в том числе любым третьим лицам, и таким образом нарушившие условия раздела 4 Положения, могут быть лишены вознаграждения.
  3. Участники также могут быть лишены вознаграждения в случаях:
    • физического вмешательства в инфраструктуру клиента (в том числе в офисы и вычислительные центры);
    • использования методов социальной инженерии, направленной как на сотрудников клиента, так и на сотрудников организатора;
    • совершения попытки получения доступа к учетным записям, данным пользователей или к любым другим конфиденциальным данным, выходящей за пределы действий, минимально необходимых для демонстрации найденной уязвимости;
    • если эксплуатация уязвимости в производственной среде клиента привела к нарушению бизнес- и технологических процессов клиента (включая DoS-атаки и другие атаки типа «отказ в обслуживании»).
  4. В случае если эксплуатация уязвимости в производственной среде клиента может привести к нарушению бизнес- и технологических процессов клиента, участник обязуется воздержаться от действий по эксплуатации такой уязвимости и указать в направляемом им отчете все данные, необходимые для проверки возможности эксплуатации найденной уязвимости вне производственной среды.

Заключительные положения

  1. Конкурс проводится в соответствии с законодательством Российской Федерации.
  2. Регистрация участника в порядке, предусмотренном условиями использования платформы Standoff 365, означает его полное и безоговорочное согласие со всеми условиями конкурса и Положением.
  3. Основанием для обработки персональных данных участника в рамках его участия в конкурсе является исполнение Положения и условий использования платформы Standoff 365, стороной которых является участник.
  4. Организатор вправе передавать персональные данные участника клиентам для его участия в конкурсе и возможности выплаты вознаграждения участнику в случае его победы.
  5. Все споры и разногласия, которые возникают в связи с организацией и проведением конкурса, подлежат разрешению путем переговоров. Спорные вопросы, не урегулированные путем переговоров, подлежат разрешению в суде по месту нахождения организатора.