Politika

UAB LithuaniaTech rimtai žiūri į savo atsakomybę apsaugoti visuomenės informaciją nuo nepagrįsto atskleidimo.

Siekdama padėti sumažinti šią riziką UAB LithuaniaTech ragina kibernetinio saugumo tyrėjus pranešti apie aptiktas UAB LithuaniaTech gaminių pažeidžiamumo vietas, kad UAB LithuaniaTech galėtų imtis tinkamų veiksmų šioms pažeidžiamumo vietoms ištaisyti ir užtikrinti suinteresuotųjų šalių informacijos saugumą.

Šiame pranešime aprašoma, kokioms sistemoms ir tyrimų tipams taikoma ši politika, kaip pranešti apie pažeidžiamumus ir kokį laikotarpį prašome kibernetinio saugumo tyrėjų palaukti prieš ištaisant pažeidžiamumus.

Gairės

Prašome kibernetinio saugumo tyrėjų:

- Dėti visas pastangas, kad būtų išvengta privatumo pažeidimų, naudotojų patirties pablogėjimo, gamybos sistemų sutrikimų ir duomenų sunaikinimo ar manipuliavimo jais.

- Naudoti išbandomąsias priemones tik tiek, kiek būtina pažeidžiamumui patvirtinti. Tai reiškia, kad prašome nenaudoti įrenginių ir/ar programinės įrangos, kad pažeistumėte ar išviliotumėte duomenis, arba nenaudokite įrenginių, kad „perkeltumėte“ duomenis į kitas sistemas.

- Patvirtinus, kad pažeidžiamumas egzistuoja, arba gavus prieigą prie toliau nurodytų skelbiamų duomenų, nutraukti bandymą ir nedelsiant mums praneškite.

- Visą informaciją apie aptiktus pažeidžiamumus laikyti konfidencialia mažiausiai 90 kalendorinių dienų po to, kai kibernetinio saugumo tyrėjas apie tai pranešė UAB LithuaniaTech, naudodamasis čia aprašytu procesu.

Apimtis

Ši politika taikoma šioms sistemoms:

- lithuaniatech.eu

- imsand.eu

- lithuaniatech.lt

- IMSAND programinei įrangai

Bet kokios pirmiau aiškiai neišvardytos paslaugos, pavyzdžiui, bet kokios susijusios paslaugos, nepatenka į taikymo sritį ir jų neleidžiama testuoti. Jei kibernetinio saugumo tyrėjai nėra tikri, ar sistema arba galutinis taškas patenka į taikymo sritį, prieš pradėdami tyrimus kreipkitės į info@lithuaniatech.eu.

Jei kibernetinio saugumo tyrėjas, atlikdamas bandymus šios politikos taikymo srityje, mūsų sistemose susiduria su bet kuriuo iš toliau nurodytų dalykų, nutraukite bandymą ir nedelsdamas praneškite mums.

Toliau išvardyti testų tipai yra neleistini:

- Vartotojo sąsajos klaidos ar rašybos klaidos

- Tinklo atsisakymo aptarnauti (DoS arba DDoS) testai

- Fizinės prieigos bandymai (patekimas į biurą, atidarytos durys, apžiūrėjimas)

- Socialinės inžinerijos, pavyzdžiui, sukčiavimo (angl. phishing) ar bet kokie kiti netechniniai pažeidžiamumo bandymai

Leidimas

UAB LithuaniaTech nereikš civilinių ieškinių dėl atsitiktinių, sąžiningų savo politikos pažeidimų ir neinicijuos skundų teisėsaugos institucijoms dėl netyčinių pažeidimų. UAB LithuaniaTech mano, kad veikla, vykdoma laikantis šios politikos, yra „autorizuotas“ elgesys.

Pažeidžiamumų atskleidimas yra savanoriškas. Informacijos apie pažeidžiamumą atskleidimas UAB LithuaniaTech jokiu būdu nesukuria sutartinių ar kitokio pobūdžio santykių su tarp tyrėjo ir UAB LithuaniaTech. Pateikdamas pažeidžiamumą, kibernetinio saugumo tyrėjas turi aiškiai patvirtinti, kad „nesitikiu už šias paslaugas gauti jokio užmokesčio ir aiškiai atsisakau bet kokių būsimų su pateikimu susijusių reikalavimų dėl užmokesčio“.

Pranešimas apie pažeidžiamumą

Kibernetinio saugumo tyrėjas pranešimus apie pažeidžiamumą turėtų pateikti UAB LithuaniaTech el. paštu info@lithuaniatech.eu.

Ataskaitose turėtų būti pateikta ši informacija:

- Pažeidžiamumo vietos ir galimo poveikio aprašymas

- Pažeidžiamumo tyrimo atlikimo data ir laikas

- Išsamus pažeidžiamumui atkurti reikalingų veiksmų aprašymas. Naudingi yra koncepcijos įrodymo scenarijai, ekrano nuotraukos ir ekrano vaizdai.

- Bet kokia techninė informacija ir susijusi medžiaga, reikalinga problemai atkurti

Ataskaitas apie pažeidžiamumą nuolat atnaujinkite ir, gavę naujos informacijos, siųskite ją adresu info@lithuaniatech.eu. Po peržiūros UAB LithuaniaTech gali pasidalyti kai kuriais pažeidžiamumo duomenimis su kitomis šalimis, taip pat su visais susijusiais pardavėjais ar atvirojo kodo projektais. Nors UAB LithuaniaTech priima anoniminius pranešimus, tyrėjų anonimiškumas gali apriboti UAB LithiuaniaTech galimybes bendradarbiauti taisant pažeidimus.

Koordinuotas informacijos atskleidimas

UAB LithuaniaTech yra įsipareigojusi nuolat šalinti pažeidžiamumus ir atskleisti išsamią informaciją apie tuos pažeidžiamumus, kai jie bus ištaisyti. Be to, UAB LithuaniaTech mano, kad viešas pažeidžiamumų atskleidimas yra esminė pažeidžiamumų atskleidimo proceso dalis ir kad vienas geriausių būdų tobulinti programinę įrangą ir taikomąsias programas yra dalytis tokiais ištaisymais.

Tačiau pažeidžiamumo atskleidimas laiku nepašalinus pažeidžiamumo didina riziką suinteresuotųjų šalių duomenims, todėl prašome kibernetinio saugumo tyrėjų susilaikyti nuo informacijos apie UAB LithuaniaTech produktų pažeidžiamumą dalijimosi su kitais asmenimis, kol dirbame prie savo pažeidžiamumo šalinimo metodo. Jei apie pažeidžiamumą reikėtų informuoti kitus asmenis, kol dar nėra parengtos tinkamos taisomosios priemonės, praneškite mums, kad galėtume koordinuoti veiksmus.

UAB LithuaniaTech gali norėti suderinti viešą pranešimą su kibernetinio saugumo tyrėju, kuris būtų paskelbtas kartu su ištaisymo priemone, tačiau kibernetinio saugumo tyrėjai gali patys atskleisti informaciją, jei to pageidauja.

UAB LithuaniaTech neskelbia informacijos apie kibernetinio saugumo tyrėją be jo sutikimo. Kai kuriais atvejais UAB LithuaniaTech gali turėti neskelbtinos informacijos, kurią reikia redaguoti, kad ji nebūtų viešai skelbiama, todėl kibernetinio saugumo tyrėjai, prieš savarankiškai atskleisdami informaciją, turi gauti UAB LithuaniaTech sutikimą. To nepadarius, kenkiama geranoriškumui, kurio siekiama šia politika.