Положение о конкурсах, проводимых на платформе bugbounty.standoff365.com, действующее с 4 апреля 2023г

Настоящее положение о конкурсах, проводимых на платформе bugbounty.standoff365.com (далее — Положение), регулирует порядок организации и проведения таких конкурсов.

Термины

Клиент

Юридическое лицо, по заданию которого организовывается конкурс по поиску уязвимостей

Комиссия

Круг лиц, состоящий из представителей Клиента (не менее двух) и одного представителя Организатора, утвержденный для оценки результатов Участников Программы.

Организатор

Акционерное общество «Позитивные Технологии», ОГРН 1127746201087, адрес местонахождения: 107241, г. Москва, Щёлковское шоссе, д. 23А, комната 36, помещение V

Отчет

Документ, предоставляемый в электронном виде Участником Организатору путем заполнения формы в личном кабинете на Платформе и содержащий результат и описание выполненного задания Программы.

Платформа

Сайт, расположенный по адресу bugbounty.standoff365.com.

Победитель

Участник, в отношении которого Комиссией принято решение о выплате вознаграждения за участие в Программе.

Программа

Программа по поиску уязвимостей в веб-сервисах и приложениях Клиента и путей реализации недопустимых событий, размещенная на Платформе.

Участник

Дееспособное физическое лицо, являющееся гражданином Российской Федерации согласно действующему законодательству РФ, достигшее восемнадцати лет (либо четырнадцати лет при условии наличия письменного согласия законных представителей такого лица на участие в Программе и соблюдение условий настоящего Положения) и действующее от своего имени, желающее участвовать в какой-либо Программе.

Участниками не могут являться лица, задействованные в организации и проведении Программы, члены их семей, авторы кода, анализ которого производится участниками в рамках Программы.

Участник также вправе участвовать в Программе в качестве самозанятого, применяющего в своей деятельности специальный налоговый режим в соответствии с Федеральным законом от 27.11.2018 N 422-ФЗ «О
проведении эксперимента по установлению специального налогового режима», либо в качестве индивидуального предпринимателя.

Уязвимость

Технический недостаток в веб-сервисах и приложениях Клиента, с использованием которого возможно нарушить их нормальную работу, целостность, доступность, конфиденциальность и (или) реализовать недопустимое событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности.

Организатор Программ

  1. Организатор размещает каждую Программу по заданию Клиента согласно требованиям и условиям, определяемым Клиентом. Такие требования и условия размещаются Организатором на странице Программы на Платформе. Для каждого Клиента на Платформе может быть размещено одновременно несколько Программ.

Общие положения об участии в Программе

  1. Для участия в Программе Участнику необходимо зарегистрироваться на странице Платформы в порядке, предусмотренном условиями использования Платформы Standoff 365.
  2. Участник, используя функциональность личного кабинета на Платформе, отправляет Отчет в соответствии с условиями Программы. Отчет должен содержать название и описание Уязвимости. Он также может содержать:
    1. уровень опасности Уязвимости (за исключением сообщения о недопустимом событии);
    2. CVE — Common Vulnerabilities and Exposures (идентификационный номер Уязвимости вида «CVE-год-номер», описание и ряд общедоступных ссылок с описанием);
    3. CWE (Common Weakness Enumeration) – общий перечень дефектов (недостатков) безопасности;
    4. прикрепленные файлы.
  3. Отчет оценивает Комиссия.
  4. Комиссия по собственному усмотрению определяет Победителей и размер вознаграждения для каждого Победителя. Число Победителей не ограничено.
  5. Списки Победителей, определенных решением Комиссии, публикуются Организатором на платформе.
  6. Победителями могут стать только те Участники Программы, которые выполнили условия Программы и сообщили Комиссии о неизвестных ранее Уязвимостях в информационной системе Клиента. Отчету, содержащему данные о ранее известной Комиссии Уязвимости, может быть присвоен статус «Дубликат» в случае, если:
    1. ранее другим Участником Программы был отправлен аналогичный Отчет (даже если Отчеты описывают разные векторы использования одной и той же Уязвимости);
    2. отчет представляет собой описание Уязвимости, которая ранее была известна сотрудникам Клиента или его подрядчикам, и это было обозначено явным образом (например, сделана запись в системе отслеживания ошибок);
    3. отчет представляет собой описание эксплуатации Уязвимости 0-day или 1-day, о которой Комиссии стало известно из общедоступных источников до сдачи Участником Отчета.
  7. Результаты проверки Отчетов объявляются на протяжении всего время действия Программы. Оценка таких результатов проводится Комиссией в срок не более 90 (девяноста) дней с даты получения от Участника Отчета об Уязвимости, обнаруженной в информационной системе Клиента.
  8. Для принятия решения Комиссии необходим кворум. Требуется согласие трех представителей Комиссии, один из которых — представитель Организатора. Решение о присуждении вознаграждения Победителю оформляется протоколом Комиссии.
  9. Описание задания, критерии и порядок оценки результатов поиска Уязвимостей, срок проведения Программы и представления результатов поиска Уязвимостей, размер и форма вознаграждения Участника определяются на странице Программы, размещенного на Платформе.
  10. Победитель соглашается, что, представляя Организатору отчет, он передает исключительные права на любые результаты интеллектуальной деятельности, созданные им в процессе участия в Программе, Организатору. Исключительные права на результаты интеллектуальной деятельности отчуждаются в полном объеме на весь срок действия таких прав.
  11. Для выполнения Участником условий Программы Организатор безвозмездно предоставляет Участнику на весь срок проведения Программы простую (неисключительную) лицензию на программное обеспечение в объеме, необходимом и достаточном для выполнения условий Программы и исключительно для поиска в таком программном обеспечении Уязвимостей и способов их эксплуатации.
  12. Организатор оставляет за собой право изменить условия Программы в одностороннем порядке.
  13. Организатор не несет ответственности за взаимодействие между Клиентом и Участником.

Ответственное разглашение информации

  1. Если участник обнаружил уязвимость в рамках участия в конкурсе, то он должен придерживаться правил ответственного разглашения и предпринять следующие шаги:

    1. Уведомить юридическое лицо, являющееся правообладателем программного обеспечения и (или) базы данных, включенных в информационную систему Клиента (далее — «Правообладатель»), в соответствии с политикой раскрытия уязвимостей Правообладателя. Если такую политику найти не удается, то Участник должен связаться с Правообладателем по электронной почте или другим доступным способом.
    2. Участник должен ожидать не менее чем 90 (девяносто) дней, чтобы Правообладатель смог выпустить исправление уязвимости. Продление этого срока возможно по договоренности с Правообладателем.
    3. Дополнительно Участник должен отправить электронное письмо Правообладателю с напоминанием на 30-й (тридцатый) и 60-й (шестидесятый) дни после первоначального уведомления.
    4. Если Участник не получает ответа от Правообладателя в течение 90 (девяноста) дней, то он вправе на свое усмотрение публично раскрыть данные о найденной Уязвимости, но только при условии, что раскрываемая информация не позволит другим лицам воспользоваться такой Уязвимостью.
    5. Если Правообладатель выпускает исправление Уязвимости в срок до 90-го (девяностого) дня, Участник вправе при условии соблюдения требований, указанных выше, опубликовать данные о найденной уязвимости сразу после выпуска Правообладателем исправления.
    6. Участник должен соблюдать конфиденциальность данных о найденной Уязвимости в течение 90 (девяноста) дней и не раскрывать их без разрешения Правообладателя.

  2. Если уязвимость обнаружена у Правообладателя, который является клиентом, то участник сообщает о такой уязвимости, направив отчет в соответствии с условиями Положения. В этом случае соблюдение требований, установленных пунктом 4.1. Положения, не требуется.

Вознаграждение

  1. Вознаграждение предоставляется Организатором в денежной форме.
  2. Победители получают вознаграждение в пределах сумм, указанных на странице Программы, размещенной на Платформе. Комиссия вправе принять решение о выплате вознаграждения в размере, превышающем максимальную сумму, предусмотренную за найденную Уязвимость.
  3. Размер вознаграждения Победителя зависит от опасности Уязвимости, простоты ее эксплуатации и от ее воздействия на данные пользователей информационной системы Клиента. Комиссия определяет размер вознаграждения Победителя.
  4. Размер вознаграждения определяется Организатором и Клиентом самостоятельно и может быть изменен либо отменен Клиентом или Организатором в одностороннем порядке.
  5. Выплата вознаграждения осуществляется Организатором при предоставлении Победителем информации и документов, перечисленных в п. 6.2. Положения, не позднее 30 (тридцати) календарных дней с даты сообщения Комиссией о положительной оценке Отчета, представленного Участником.
  6. Порядок выплаты вознаграждения определен в разделе 6 настоящего Положения.
  7. Вознаграждение включает в себя применимые в соответствии с законодательством Российской Федерации налоги.
  8. Вознаграждение не выплачивается Победителю в случае:
    1. непредоставления Участником документов и информации, перечисленных в разделе 6 Положения, в полном объеме в течение 90 (девяноста) календарных дней с даты сообщения Комиссией о положительной оценке Отчета, представленного Участником;
    2. если Участник не является гражданином Российской Федерации;
    3. в случае предоставления Победителем Организатору недостоверной, неполной или заведомо ложной информации;
    4. в случае отказа регистрации на сервисе «Консоль», если такая регистрация предусмотрена Положением; или
    5. в иных случаях, указанных в Положении.

Порядок выплаты вознаграждения

  1. В случае принятия Комиссией решения о выплате вознаграждения Победителю, Организатор направляет Победителю уведомление о выплате вознаграждения на контактный адрес электронной почты Победителя, указанный в личном кабинете на Платформе.
  2. Выплата вознаграждения Победителю производится Организатором в течение 30 (тридцати) календарных дней с момента уведомления Победителя в соответствии с п. 6.1 Положения при условии соблюдения Победителем условий настоящих Правил, в том числе, по предоставлению информации и регистрации на сервисе «Консоль».
  3. Для получения вознаграждения Победителю необходимо:

    1. Указать [в личном кабинете на Платформе] информацию о статусе Победителя и применимом режиме налогообложения.

      Если Победитель участвует в Программе в статусе физического лица:

    2. Указать следующую информацию в личном кабинете на Платформе:

      • фамилия, имя и отчество без сокращений;
      • дата рождения;
      • платежные реквизиты: БИК банка получателя, банк получателя, корреспондентский счет, ИНН банка получателя, счет получателя, наименование получателя;
      • паспортные данные гражданина РФ: серия, номер, дата выдачи, код подразделения, кем паспорт выдан, адрес регистрации;
      • ИНН;
      • если Победитель не достиг возраста 18 лет, такой Победитель обязан предоставить Организатору письменное согласие законных представителей такого лица на участие в Программе и соблюдение условий настоящего Положения;
      • Организатор оставляет за собой право запросить у победителя скан-копию заграничного паспорта, включая скан-копии страниц с отметками о пересечении границы РФ.

    3. В случае если Организатор не может определить страну налогового резидентства Победителя в связи с недостаточностью предоставленной Победителем информации, Организатор вправе уменьшить получаемое Победителем-физическим лицом вознаграждение на сумму НДФЛ в размере 30%.

    4. В случае, если Победитель действует как физическое лицо, налог на доходы физических лиц (НДФЛ) будет исчислен и удержан из вознаграждения Победителя и перечислен в российские налоговые органы Организатором.

    5. Выплата вознаграждения Победителю осуществляется Организатором путем перевода денежных средств с использованием банковских реквизитов, указанных Победителем на Платформе. Выплата вознаграждения возможна только на счета, открытые в российских банках, после удержания НДФЛ. В случае если в течение 30 (тридцати) календарных дней с даты совершения Организатором выплаты вознаграждения от Победителя не поступит уведомления о неполучении такой выплаты, Организатор считается выполнившим свои обязанности по выплате вознаграждения в полном объеме.

      Если Победитель участвует в Программе в статусе самозанятого лица и применяет в своей деятельности специальный налоговый режим «Налог на профессиональный доход» в соответствии с Федеральным законом от 27.11.2018 N 422-ФЗ «О проведении эксперимента по установлению специального налогового режима»:

    6. Указать следующую информацию в личном кабинете на Платформе:

      • фамилия, имя и отчество без сокращений;
      • дата рождения;
      • ИНН.

    7. Зарегистрироваться на сервисе «Консоль» в соответствии с п. 6.4 Положения.

    8. В случае, если Победитель является самозанятым лицом и применяет в своей деятельности специальный налоговый режим «Налог на профессиональный доход» в соответствии с Федеральным законом от 27.11.2018 N 422-ФЗ «О проведении эксперимента по установлению специального налогового режима», в день получения вознаграждения в сервисе «Консоль» формируется чек, в соответствии со статьей 14 Федерального закона от 27.11.2018 N 422- ФЗ «О проведении эксперимента по установлению специального налогового режима «Налог на профессиональный доход». Победитель самостоятельно выполняет обязанность по уплате налогов с размера вознаграждения, полученного от Организатора.

    9. В случае, если Победитель, являющийся самозанятым в течение 2 (двух) последних лет являлся работником Организатора, Организатор выплачивает вознаграждение Победителю как физическому лицу (или индивидуальному предпринимателю, в случае наличия такого статуса у Победителя и предоставления соответствующих документов в соответствии с настоящим Положением).

      Если Победитель участвует в Программе в статусе индивидуального предпринимателя:

    10. Указать следующую информацию в личном кабинете на Платформе:

      • фамилия, имя и отчество без сокращений;
      • дата рождения;
      • ИНН.

    11. Зарегистрироваться на сервисе «Консоль» в соответствии с п. 6.4 Положения.

    12. Победитель, являющийся индивидуальным предпринимателем, самостоятельно оплачивает налоги с размера вознаграждения, полученного от Организатора в соответствии с применяемым Победителем режимом налогообложения.

  4. В случаях, предусмотренных настоящим Положением, Победитель для получения вознаграждения, а также подписания документов, необходимых для получения Вознаграждения, в течение [5 (пяти) рабочих дней] с момента получения уведомления о присуждении вознаграждения в соответствии с п. 6.1 Положения обязан зарегистрироваться на сервисе «Консоль» путем перехода по ссылке для регистрации, которая направляется Победителю в личном кабинете на Платформе.
    В процессе регистрации на сервисе «Консоль» Победитель соглашается с:
    1. пользовательским соглашением, расположенным по адресу: https://konsol.pro/agreement;
    2. условиями предоставления персональных данных, расположенными по адресу: https://konsol.pro/policy.
  5. В процессе регистрации на сервисе «Консоль», Победитель проходит идентификацию с предоставлением персональных данных, таких как ФИО, паспортные данные, данные о регистрации, номер телефона, скан-копию документа, удостоверяющего личность. Также предоставляется “селфи с паспортом” для подтверждения принадлежности запрошенных персональных данных конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении сервиса «Консоль». В некоторых случаях могут быть запрошены иные документы, об этом Победителю будет известно в процессе идентификации на сервисе «Консоль».

Ограничения

  1. Для тестирования и демонстрации уязвимостей Участник вправе использовать только свою учетную запись. Взлом и использование чужих учетных записей запрещены. Участнику также запрещается получать доступ к любым данным третьих лиц.
  2. Участники, раскрывшие сведения об уязвимостях публично, в том числе любым третьим лицам, и таким образом нарушившие условия раздела 4 Положения, могут быть лишены вознаграждения.
  3. Участникам запрещается:
    1. осуществлять физическое вмешательство в инфраструктуру Клиента (в том числе в офисы и вычислительные центры);
    2. использовать методы социальной инженерии, направленной как на сотрудников Клиента, так и на сотрудников Организатора;
    3. совершать попытки получения доступа к учетным записям, данным пользователей информационных систем Клиента или к любым другим конфиденциальным данным, выходящим за пределы действий, минимально необходимых для демонстрации найденной Уязвимости;
    4. реализовывать Уязвимости в производственной среде Клиента, способные привести к нарушению бизнес- и технологических процессов Клиента (включая DoS-атаки и другие атаки типа «отказ в обслуживании»);
    5. проникать во внутренние системы веб-сервисов и приложений информационных систем Клиента, не указанных в условиях на странице Программы;
    6. осуществлять целенаправленную выгрузку персональных данных граждан из внутренних систем веб-сервисов и приложений информационных систем Клиента, а также иных информационных ресурсов Клиента, не указанных в условиях на странице Программы.
  4. Программа должна заканчиваться взломом порталов и закреплением на них, строго без дальнейшего проникновения Участником во внутренние системы веб-сервисов и приложений информационных систем Клиента.
  5. В случае если эксплуатация Уязвимости в производственной среде Клиента может привести к нарушению бизнес- и технологических процессов Клиента, Участник обязуется воздержаться от действий по эксплуатации такой Уязвимости и указать в направляемом им отчете все данные, необходимые для проверки возможности эксплуатации найденной Уязвимости вне производственной среды.
  6. В случае несоблюдения Участником ограничений, предусмотренных разделами 4 и 7 Положения, Организатор вправе заблокировать его аккаунт на Платформе.

Заключительные положения

  1. Настоящее Положение и все отношения, связанные с ним, регулируются правом Российской Федерации.
  2. Регистрация Участника в порядке, предусмотренном Условия использования (standoff365.com), означает его полное и безоговорочное согласие со всеми условиями соответствующей Программы, настоящим Положением, а также Политикой конфиденциальности (standoff365.com).
  3. Основанием для обработки персональных данных Участника в рамках его участия в Программе является исполнение Положения и условий использования Платформы Standoff 365, стороной которых является Участник.
  4. Организатор вправе передавать персональные данные Участника Клиентам для его участия в Программе и возможности предоставления Участнику вознаграждения в случае его победы.
  5. Все споры и разногласия, которые возникают в связи с Программой, подлежат разрешению путем переговоров. Спорные вопросы, не урегулированные путем переговоров, подлежат разрешению в суде по месту нахождения Организатора.

Положение о конкурсах, проводимых на платформе bugbounty.standoff365.com, действовавшее до 4 апреля 2023г