Рейтинг пользователей
RU

Положение о программах, проводимых на платформе Standoff 365 Bug Bounty

Настоящее положение о программах, проводимых на платформе bugbounty.standoff365.com (далее — Положение), регулирует порядок организации и проведения таких программ.

Термины

Клиент

Юридическое лицо, по заданию которого организовывается Программа

Комиссия

Круг лиц, состоящий из представителей Клиента (не менее двух) и одного представителя Организатора, утвержденный для оценки Отчетов Участников Программы

Организатор

Акционерное общество «Позитивные Технологии», ОГРН 1127746201087, адрес местонахождения: 107241, г. Москва, Щелковское шоссе, д. 23А, комната 36, помещение V

Отчет

Электронный документ, который Участник предоставляет Организатору путем заполнения формы в личном кабинете на Платформе, содержащий результат и описание выполненного задания Программы

Платформа

Сайт, расположенный по адресу bugbounty.standoff365.com

Победитель

Участник Программы, в отношении которого Комиссия приняла решение о выплате вознаграждения

Программа

Программа по поиску уязвимостей в веб-сервисах и приложениях Клиента и путей реализации недопустимых событий, размещенная на Платформе

Участник

Дееспособное физическое лицо, являющееся гражданином Российской Федерации согласно законодательству, достигшее 18 лет (либо 14 лет при наличии письменного согласия законных представителей такого лица на участие в Программе и на соблюдение условий настоящего Положения) и действующее от своего имени, желающее участвовать в какой-либо Программе.

Участниками не могут являться лица, задействованные в организации и проведении программы, члены их семей, авторы анализируемого в рамках Программы кода.

Участником также может быть самозанятый гражданин, применяющий в своей деятельности специальный налоговый режим (в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ «О проведении эксперимента по установлению специального налогового режима „Налог на профессиональный доход“»), либо индивидуальный предприниматель

Уязвимость

Технический недостаток в веб-сервисах и приложениях Клиента, с использованием которого возможно нарушить их нормальную работу, целостность, доступность, конфиденциальность и (или) реализовать недопустимое событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей или приводящее к длительному нарушению основной деятельности

Организатор Программ

  1. Организатор размещает каждую Программу по заданию Клиента согласно требованиям и условиям, определяемым Клиентом. Такие требования и условия Организатор публикует на странице Программы на Платформе. Для каждого Клиента на Платформе может быть размещено одновременно несколько Программ.

Общие положения об участии в Программе

  1. Для участия в Программе Участнику необходимо зарегистрироваться на Платформе в порядке, предусмотренном условиями использования платформы Standoff 365.
  2. Участник, используя функциональность личного кабинета на Платформе, отправляет Отчет в соответствии с условиями Программы. В Отчете должны быть указаны название и описание Уязвимости. Он также может содержать:
    • информацию об уровне опасности Уязвимости (за исключением сообщения о недопустимом событии);
    • CVE — Common Vulnerabilities and Exposures (идентификационный номер Уязвимости вида «CVE-год-номер», описание и ряд общедоступных ссылок с описанием);
    • CWE (Common Weakness Enumeration) — общий перечень дефектов (недостатков) безопасности;
    • прикрепленные файлы.
  3. Комиссия оценивает Отчет.
  4. Комиссия по собственному усмотрению определяет Победителей и размер вознаграждения для каждого из них. Число Победителей не ограничено.
  5. Организатор публикует списки Победителей, определенных решением Комиссии, на Платформе.
  6. Победителями могут стать только те Участники Программы, которые выполнили условия Программы и сообщили Комиссии о неизвестных ранее Уязвимостях в информационной системе Клиента. Отчету, содержащему данные о ранее известной Комиссии Уязвимости, может быть присвоен статус «Дубликат», если:
    • ранее другой Участник Программы отправил аналогичный Отчет (даже если Отчеты описывают разные векторы использования одной и той же Уязвимости);
    • Отчет представляет собой описание Уязвимости, которая ранее была известна сотрудникам Клиента или его подрядчикам, что было обозначено явным образом (например, сделана запись в системе отслеживания ошибок);
    • Отчет представляет собой описание эксплуатации Уязвимости 0-day или 1-day, о которой Комиссии стало известно из общедоступных источников до того, как Участник сдал Отчет.
  7. Результаты проверки Отчетов объявляются на протяжении всего времени действия Программы. Комиссия оценивает Отчет в срок не более 90 (девяноста) дней с даты получения.
  8. Чтобы принять решение, Комиссии необходим кворум: требуется согласие трех членов Комиссии, один из которых — представитель Организатора. Решив присудить вознаграждение Победителю, Комиссия оформляет протокол.
  9. Описание задания, критерии и порядок оценки результатов поиска Уязвимостей, срок проведения Программы и представления результатов поиска Уязвимостей, размер и форма вознаграждения Участника определяются на странице Программы, размещенной на Платформе.
  10. Победитель соглашается, что, представляя Отчет, он передает Организатору исключительные права на любые результаты интеллектуальной деятельности, созданные в процессе участия в Программе. Исключительные права на результаты интеллектуальной деятельности отчуждаются в полном объеме на весь срок действия таких прав.
  11. Чтобы Участник выполнил условия Программы, Организатор безвозмездно предоставляет Участнику на весь срок проведения Программы простую (неисключительную) лицензию на программное обеспечение в объеме, необходимом и достаточном для выполнения условий Программы, и исключительно для поиска в таком программном обеспечении Уязвимостей и способов их эксплуатации.
  12. Организатор оставляет за собой право изменить условия Программы в одностороннем порядке.
  13. Организатор не несет ответственности за взаимодействие между Клиентом и Участником.

Ответственное разглашение информации

  1. Участник, который обнаружил Уязвимость в процессе участия в Программе, но не в веб-сервисах и приложениях Клиента, должен придерживаться и правил ответственного разглашения информации об Уязвимости, и следующих требований:
    • Участник должен уведомить юридическое лицо, являющееся правообладателем программного обеспечения и (или) базы данных, включенных в информационную систему Клиента (далее — Правообладатель), в соответствии с политикой раскрытия сведений об уязвимостях Правообладателя. Если такую политику найти не удается, то Участник должен связаться с Правообладателем по электронной почте или другим доступным способом.
    • Участник должен подождать не менее чем 90 (девяносто) дней, чтобы Правообладатель смог выпустить исправление Уязвимости. Продлить этот срок возможно по договоренности с Правообладателем.
    • Дополнительно Участник должен отправить электронное письмо Правообладателю с напоминанием на 30-й (тридцатый) и 60-й (шестидесятый) дни после первоначального уведомления.
    • Если Участник не получил ответа от Правообладателя в течение 90 (девяноста) дней, то он вправе на свое усмотрение публично раскрыть данные о найденной Уязвимости, но только при условии, что раскрываемая информация не позволит другим лицам воспользоваться такой Уязвимостью.
    • Если Правообладатель выпускает исправление Уязвимости в срок до 90-го (девяностого) дня, Участник вправе при соблюдении требований, указанных выше, опубликовать данные о найденной Уязвимости сразу после выпуска Правообладателем исправления.
    • Участник должен соблюдать конфиденциальность данных о найденной Уязвимости в течение 90 (девяноста) дней и не раскрывать их без разрешения Правообладателя.
  2. Если Участник обнаружил Уязвимость у Правообладателя, являющегося Клиентом, то должен сообщить о ней, направив Отчет в соответствии с условиями Положения. Во избежание сомнений п. 4.1. Положения в таком случае не применяется. Участник не вправе разглашать какие-либо сведения об Уязвимости, обнаруженной у Клиента, при отсутствии согласия Клиента на такое разглашение.

Вознаграждение

  1. Организатор предоставляет Победителю вознаграждение в денежной форме.
  2. Победители получают вознаграждение в пределах сумм, указанных на странице Программы, размещенной на Платформе. Комиссия вправе принять решение о выплате вознаграждения в размере, превышающем максимальную сумму, предусмотренную за найденную Уязвимость.
  3. Размер вознаграждения Победителя зависит от опасности Уязвимости, простоты ее эксплуатации и от ее воздействия на данные пользователей информационной системы Клиента. Комиссия определяет размер вознаграждения Победителя.
  4. Организатор и Клиент самостоятельно определяют размер вознаграждения. Оно может быть изменено либо отменено Клиентом или Организатором в одностороннем порядке.
  5. Организатор выплачивает вознаграждение при предоставлении Победителем информации и документов, перечисленных в п. 6.2. Положения, не позднее чем в течение 30 (тридцати) календарных дней с даты сообщения Комиссией о положительной оценке Отчета.
  6. Порядок выплаты вознаграждения определен в разделе 6 настоящего Положения.
  7. Вознаграждение включает в себя применимые в соответствии с законодательством Российской Федерации налоги.
  8. Вознаграждение не выплачивается Победителю в следующих случаях:
    • Участник не предоставил документы и информацию, перечисленные в разделе 6 Положения, в полном объеме в течение 90 (девяноста) календарных дней с даты сообщения комиссией о положительной оценке отчета;
    • Участник не является гражданином Российской Федерации;
    • Победитель предоставил Организатору недостоверную, неполную или заведомо ложную информацию;
    • Участник отказался регистрироваться на сервисе «Консоль», если такая регистрация предусмотрена Положением; или
    • в иных случаях, указанных в Положении.

Порядок выплаты вознаграждения

  1. Если Комиссия приняла решение о выплате вознаграждения Победителю, Организатор направляет Победителю уведомление о выплате на контактный адрес электронной почты Победителя, указанный в личном кабинете на Платформе.
  2. Организатор выплачивает вознаграждение Победителю в течение 30 (тридцати) календарных дней с момента уведомления Победителя в соответствии с п. 6.1. Положения при соблюдении Победителем настоящих правил, в том числе правил предоставления информации и регистрации на сервисе «Консоль».
  3. Для получения вознаграждения Победителю необходимо выполнить следующие действия:

    1. В личном кабинете на Платформе Победитель должен указать информацию о статусе и применимом режиме налогообложения.

      Если Победитель участвует в Программе в статусе физического лица:

    2. Победителю необходимо указать следующую информацию в личном кабинете на Платформе:

      а) фамилия, имя и отчество без сокращений;

      б) дата рождения;

      в) платежные реквизиты: БИК банка получателя, банк получателя, корреспондентский счет, ИНН банка получателя, счет получателя, наименование получателя;

      г) паспортные данные гражданина Российской Федерации: серия, номер, дата выдачи, код подразделения, кем паспорт выдан, адрес регистрации;

      д) ИНН.

    3. Если Победитель не достиг возраста 18 лет, то он обязан предоставить Организатору письменное согласие законных представителей на участие в Программе и на соблюдение условий настоящего Положения.

    4. Организатор оставляет за собой право запросить у победителя скан-копию заграничного паспорта, включая скан-копии страниц с отметками о пересечении границы Российской Федерации.

    5. Если определить страну налогового резидентства Победителя невозможно в связи с недостаточностью предоставленной Победителем информации, Организатор вправе уменьшить получаемое Победителем — физическим лицом вознаграждение на сумму НДФЛ (налога на доходы физических лиц) в размере 30%.

    6. Если Победитель действует как физическое лицо, Организатор исчислит сумму НДФЛ, удержит ее из вознаграждения и перечислит в российские налоговые органы.

    7. Организатор выплачивает вознаграждение Победителю путем перевода денежных средств с использованием банковских реквизитов, указанных Победителем на Платформе. Выплата вознаграждения возможна только на счета, открытые в российских банках, после удержания НДФЛ. Если в течение 30 (тридцати) календарных дней с даты выплаты Организатором вознаграждения от Победителя не поступит уведомления о неполучении такой выплаты, Организатор считается выполнившим свои обязанности по выплате вознаграждения в полном объеме.

      Если Победитель участвует в Программе в статусе самозанятого лица и применяет в своей деятельности специальный налоговый режим «Налог на профессиональный доход» (в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ):

    8. Победителю необходимо указать следующую информацию в личном кабинете на Платформе:

      а) фамилия, имя и отчество без сокращений;

      б) дата рождения;

      в) ИНН.

    9. Победителю необходимо зарегистрироваться на сервисе «Консоль» в соответствии с п. 6.4. Положения.

    10. Если Победитель является самозанятым лицом и применяет в своей деятельности специальный налоговый режим «Налог на профессиональный доход», в день получения вознаграждения на сервисе «Консоль» формируется чек (в соответствии со ст. 14 Федерального закона от 27.11.2018 № 422-ФЗ). Победитель самостоятельно уплачивает налог с вознаграждения, полученного от Организатора.

    11. Если Победитель, являющийся самозанятым, в течение 2 (двух) последних лет являлся работником Организатора, Организатор выплачивает вознаграждение Победителю как физическому лицу (или индивидуальному предпринимателю при наличии такого статуса у Победителя и предоставлении документов в соответствии с настоящим Положением).

      Если Победитель участвует в Программе в статусе индивидуального предпринимателя:

    12. Победителю необходимо указать следующую информацию в личном кабинете на Платформе:

      а) фамилия, имя и отчество без сокращений;

      б) дата рождения;

      в) ИНН.

    13. Победителю необходимо зарегистрироваться на сервисе «Консоль» в соответствии с п. 6.4. Положения.

    14. Победитель, являющийся индивидуальным предпринимателем, самостоятельно оплачивает налог с вознаграждения, полученного от Организатора, в соответствии с применяемым Победителем режимом налогообложения.

  4. В случаях, предусмотренных настоящим Положением, Победитель обязан зарегистрироваться на сервисе «Консоль», перейдя по ссылке, которая направляется ему через личный кабинет на Платформе. Сделать это нужно, чтобы подписать документы для проведения выплаты и получить вознаграждение. Зарегистрироваться необходимо в течение 5 (пяти) рабочих дней с момента получения уведомления о присуждении вознаграждения в соответствии с п. 6.1. Положения.
  5. В процессе регистрации на сервисе «Консоль» Победитель соглашается:
    • с пользовательским соглашением, расположенным по адресу: konsol.pro/agreement;
    • условиями предоставления персональных данных, расположенными по адресу: konsol.pro/policy.
  6. В процессе регистрации на сервисе «Консоль» Победитель проходит идентификацию с предоставлением персональных данных (фамилия, имя, отчество, паспортные данные, сведения о регистрации, номер телефона, скан-копия документа, удостоверяющего личность). Кроме того, предоставляется фото победителя с паспортом, чтобы подтвердить принадлежность персональных данных конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении сервиса «Консоль». В некоторых случаях могут быть запрошены иные документы — об этом Победителю станет известно в процессе идентификации на сервисе «Консоль».

Ограничения

  1. Для тестирования и демонстрации Уязвимостей Участник вправе использовать только свою учетную запись. Взлом и использование чужих учетных записей запрещены. Участнику также запрещается получать доступ к любым данным третьих лиц.
  2. Участники, раскрывшие сведения об Уязвимостях публично, в том числе любым третьим лицам, и таким образом нарушившие условия раздела 4 Положения, могут быть лишены вознаграждения.
  3. Участникам запрещается:
    • осуществлять физическое вмешательство в инфраструктуру Клиента (в том числе в офисы и вычислительные центры);
    • использовать методы социальной инженерии, направленные на сотрудников Клиента и (или) Организатора;
    • пытаться получить доступ к учетным записям, данным пользователей информационных систем Клиента или к любым другим конфиденциальным сведениям, если это выходит за пределы действий, минимально необходимых для демонстрации найденной Уязвимости;
    • эксплуатировать Уязвимости в производственной среде Клиента, способные привести к нарушению бизнес- и технологических процессов, а также, например, проводить атаки типа «отказ в обслуживании» (DoS-атаки);
    • проникать во внутренние системы веб-сервисов и приложений информационных систем Клиента, не указанных в условиях на странице Программы;
    • целенаправленно выгружать персональные данные граждан из внутренних систем веб-сервисов и приложений информационных систем, а также иных информационных ресурсов Клиента, не указанных в условиях на странице Программы.
  4. Программа должна заканчиваться взломом порталов и (или) сервисов и закреплением на них. Не допускается дальнейшее проникновение Участника во внутренние системы веб-сервисов и приложений информационных систем Клиента.
  5. Если эксплуатация Уязвимости в производственной среде Клиента может привести к нарушению бизнес- и технологических процессов, Участник обязуется воздержаться от таких действий и указать в направляемом им Отчете все данные, необходимые для проверки найденной Уязвимости вне производственной среды.
  6. Если Участник не соблюдает ограничения, предусмотренные разделами 4 и 7 Положения, Организатор вправе заблокировать его аккаунт на Платформе.

Заключительные положения

  1. Настоящее Положение и все отношения, связанные с ним, регулируются правом Российской Федерации.
  2. Регистрация на Платформе в порядке, предусмотренном условиями использования платформы Standoff 365, означает полное и безоговорочное согласие Участника со всеми условиями Программы, настоящим Положением, а также политикой конфиденциальности.
  3. Основание для обработки персональных данных Участника в рамках его участия в Программе — исполнение Положения и условий использования платформы Standoff 365, стороной которых он является.
  4. Организатор вправе передавать персональные данные Участника Клиентам для участия Участника в Программе и для предоставления ему вознаграждения в случае победы.
  5. Все споры и разногласия, которые возникают в связи с Программой, разрешаются путем переговоров. Спорные вопросы, не урегулированные таким образом, разрешаются в суде по месту нахождения Организатора.

Положение о программах, проводимых на платформе bugbounty.standoff365.com, действовавшее до 4 апреля 2023 г.