Раскрытие информации

Политика раскрытия информации
об уязвимостях информационной безопасности

 

English version (pdf)

Настоящая политика описывает принципы действия работников компании Deiteriy в отношении обнаруженных ими уязвимостей информационной безопасности в продуктах сторонних производителей.

1. В ходе исследовательской работы, проводимой по инициативе компании Deiteriy, а также в ходе выполнения тестирований на проникновение, работниками компании Deiteriy могут быть выявлены уязвимости в программных и аппаратных продуктах сторонних производителей.

2. В случае обнаружения уязвимости в продукте стороннего производителя, компания Deiteriy вправе сообщить о факте ее обнаружения производителю продукта с использованием доступных компании Deiteriy контактных данных.

3. В случае, если производитель отреагирует на сообщение об уязвимости и выразит свою заинтересованность в ее исправлении, компания Deiteriy вправе сообщить ему связанные с данной уязвимостью подробности, способствующие ее исправлению, и потребовать от производителя указания конкретной даты, до наступления которой он планирует исправить данную уязвимость. Срок исправления уязвимости не может превышать 6 месяцев без достаточного обоснования для определения более длительного срока исправления уязвимости.

4. В случае, если производитель не отреагирует на сообщение об уязвимости в течение 14 календарных дней, либо если его ответ не будет выражать заинтересованность производителя в исправлении уязвимости, компания Deiteriy вправе по истечению 14 календарных дней с момента отправки первого сообщения производителю продукта о факте наличия уязвимости опубликовать информацию о факте наличия уязвимости, дате и методе её обнаружения работниками компании Deiteriy, а также подробности, способствующие управлению связанными с данной уязвимостью рисками.

5. В случае, если производитель отреагирует на сообщение об уязвимости в течение 14 календарных дней и выразит свою заинтересованность в ее исправлении, но после этого не назовет планируемую дату ее исправления, либо обозначенный производителем срок исправления уязвимости будет превышать 6 месяцев без достаточных обоснований для столь длительного срока, либо уязвимость не будет исправлена в течение указанного производителем срока, то компания Deiteriy вправе опубликовать информацию о факте наличия уязвимости, дате и методе её обнаружения работниками компании Deiteriy, а также подробности, способствующие управлению связанными с данной уязвимостью рисками, через 6 месяцев с момента отправки первого сообщения производителю продукта о факте наличия уязвимости.

6. В случае, если производитель исправит уязвимость и сделает ее исправление доступным всем пользователям продукта не позднее указанной им даты, компания Deiteriy вправе после этого опубликовать информацию о факте обнаружения уязвимости, дате и методе её обнаружения работниками компании Deiteriy, а также подробности, способствующие управлению связанными с данной уязвимостью рисками, со ссылкой на описание предложенного производителем продукта способа исправления уязвимости.