Начать работу
Open mobile menu
ru
Мой аккаунт Начать работу
Мой аккаунт Начать работу

Политика раскрытия уязвимостей

Введение

Безопасность продуктов и услуг имеет для Criteo первостепенное значение. Наша цель — обеспечить максимальную удовлетворенность клиентов и пользователей, а также защиту и сохранность доверенной нам информации и данных. Поэтому мы приветствуем ответственное и этичное раскрытие потенциальных уязвимостей в сфере безопасности со стороны не только аналитиков в области безопасности, но и обычных пользователей. Данная политика описывает наши требования к ответственному раскрытию обнаруженных уязвимостей и порядок рассмотрения таких обращений.

Санкционирование поиска уязвимостей

В случае соблюдения вами данной политики в ходе исследований Criteo сочтет ваши действия санкционированными и не будет принимать каких-либо юридических мер в вашем отношении.

Наши обязательства

В случае уведомления Criteo о проблеме в соответствии с данной политикой мы обязуемся:

  • отреагировать на ваше обращение в течение трех рабочих дней и принять меры для совместного анализа и устранения проблемы;
  • если обнаруженная уязвимость не классифицирована нами как допустимый риск, приложить усилия к ее устранению в кратчайшие сроки;
  • информировать вас о ходе устранение проблемы;
  • сохранять конфиденциальность ваших данных и сведений об обнаруженной уязвимости при отсутствии иных договоренностей;
  • выплатить вознаграждение в соответствии с условиями, описанными в разделе «Вознаграждения».

Требования

Для того чтобы ваше исследование было признано санкционированным согласно данной политике, вы должны:

  • действовать добросовестно и избегать злоупотребления системами и приложениями, которое может нанести вред компании Criteo или ее клиентам;
  • как можно быстрее уведомить Criteo об обнаружении реальной или потенциальной угрозы безопасности;
  • публично раскрывать информацию о проблеме только после ее устранения и на основании взаимного соглашения, которое предусматривает определение сроков публикации и степени детализации раскрытой информации.

Не допускается следующее:

  • доступ к данным аккаунтов, созданных другими пользователями, их изменение или удаление;
  • использование высокоинтенсивных инвазивных или разрушающих инструментов;
  • отправка большого количества низкокачественных отчетов (например, содержащих скопированные результаты сканирования);
  • использование следующих методов тестирования:
    • сетевые тесты на отказ в обслуживании (DoS или DDoS) или иные тесты, которые затрудняют доступ к системе или наносят ущерб данным;
    • физическое тестирование (например, доступ в офис, открытые двери, проникновение вслед за сотрудником);
    • методы социальной инженерии (например, фишинг или вишинг), а также любые другие нетехнические способы тестирования уязвимостей;
  • раскрытие результатов исследований третьим лицам без получения предварительного письменного разрешения от Criteo;
  • использование эксплойтов для компрометации или вывода данных, установления постоянного доступа через командную строку или перехода к другим системам. Эксплойты следует применять только в той мере, в которой это необходимо для подтверждения наличия уязвимости. В случае сомнений следует проинформировать Criteo для получения соответствующего разрешения.

После подтверждения наличия уязвимости или обнаружения конфиденциальных данных (включая персональные данные, финансовую информацию или сведения, составляющие коммерческую тайну любой стороны) необходимо незамедлительно прекратить тестирование, уведомить Criteo и не передавать полученные данные третьим лицам.

Рамки политики

Настоящая политика распространяется на все цифровые активы, принадлежащие Criteo, а также эксплуатируемые или обслуживаемые компанией. Сторонние сервисы, доступ к которым осуществляется через один из наших субдоменов или которые интегрированы в один из наших продуктов, выходят за рамки охвата данной политики.

Подробное и актуальное описание рамок данной политики содержится в нашей политике BugCrowd.

Вознаграждения

Criteo может выражать признательность и выплачивать вознаграждения за ответственное и этичное раскрытие сведений о проблемах безопасности в соответствии с настоящей политикой. Размер вознаграждения, если оно предусмотрено, определяется по усмотрению компании с учетом таких параметров, как серьезность уязвимости, ее потенциальное влияние и качество представленного отчета.

В целом, размер вознаграждения варьируется от $175 за уязвимости с незначительным влиянием до $4500 за обнаружение наиболее критичных проблем.

Обратите внимание, что все вознаграждения выплачиваются через закрытую программу Criteo на BugCrowd, поэтому для их получения необходим аккаунт BugCrowd.

Информирование об уязвимостях

Вознаграждения за обнаруженные уязвимости выплачиваются исключительно через BugCrowd. Чтобы сообщить о возможной уязвимости, создайте отчет на данной платформе, предоставив подробное описание и изложив шаги для воспроизведения проблемы.

Если в настоящее время вы не участвуете в нашей закрытой программе вознаграждения за обнаруженные ошибки, отправьте нам письмо на адрес security@criteo.com с указанием вашего аккаунта BugCrowd. В случае соответствия вашего аккаунта нашим требованиям мы направим вам приглашение в программу.

Чтобы сообщить о потенциальной уязвимости, вы также можете отправить письмо на адрес security@criteo.com с подробным описанием и инструкциями по воспроизведению обнаруженной проблемы.

Клиенты

Если вы являетесь клиентом Criteo, обратите внимание, что, помимо нашей программы вознаграждения за обнаруженные уязвимости, мы также проводим регулярное тестирование на проникновение, результаты которого можно получить у вашего представителя Criteo.

Вопросы

Если у вас возникнут какие-либо вопросы относительно данной политики или подхода Criteo к информационной безопасности, свяжитесь с нами по адресу security@criteo.com.

Благодарим вас за усилия по содействию безопасности Criteo. Мы ценим вашу помощь в повышении уровня защищенности наших продуктов и услуг.