Розкриття інформації про безпеку

ENUA

Політика розкриття інформації про безпеку

Дата набрання чинності: 15 травня 2026 року
Версія: 1.0
Власник платформи: ФОП Гайтан Кирило Олександрович (далі — «Mirkaso», «ми», «платформа»)
Сайт: https://mirkaso.com

1. Наша прихильність безпеці

1.1. Mirkaso серйозно ставиться до безпеки наших користувачів, їхніх даних та інфраструктури платформи. Ми визнаємо, що дослідники безпеки (security researchers) відіграють важливу роль у забезпеченні безпеки програмного забезпечення.

1.2. Ми заохочуємо відповідальне розкриття вразливостей (responsible disclosure) та вітаємо добросовісні спроби виявлення та повідомлення про потенційні проблеми безпеки у нашій платформі.

1.3. Ця політика визначає правила взаємодії між Mirkaso та дослідниками безпеки, а також процедуру подання, обробки та виправлення повідомлень про вразливості.

2. Responsible Disclosure

2.1. Ми приймаємо повідомлення про вразливості відповідно до принципів відповідального розкриття. Це означає, що ми очікуємо від дослідників:

  • Добросовісність: проведення тестування з метою виявлення та повідомлення про вразливості, а не для завдання шкоди;
  • Конфіденційність: не розголошення інформації про вразливість публічно до її виправлення;
  • Поважний підхід: уникнення шкоди для даних користувачів, конфіденційної інформації та працездатності платформи;
  • Співпраця: надання достатньої інформації для відтворення та виправлення вразливості.

2.2. Дослідник, який дотримується цієї політики та принципів responsible disclosure, отримує наші зобов'язання щодо відсутності правових переслідувань (див. розділ 8).

2.3. Як повідомити про вразливість:

  • Надішліть електронного листа на адресу: security@mirkaso.com
  • Тема листа: [Security Report] Короткий опис вразливості
  • Використовуйте шифрування (PGP/GPG) за можливості (ключ доступний за запитом)
  • Вкажіть максимально детальний опис вразливості

2.4. У разі відсутності відповіді протягом 48 годин, будь ласка, надішліть повторне повідомлення.

3. Область застосування

3.1. Ця політика застосовується до наступних систем та доменів:

| Система | Область дії | |---|---| | Основний веб-сайт | https://mirkaso.com та всі його сторінки | | API | api.mirkaso.com та всі ендпоінти | | Піддомени | *.mirkaso.com (усі піддомени, що належать Mirkaso) | | Мобільні додатки | Офіційні додатки Mirkaso (якщо доступні) | | Програмні компоненти | Відкриті для взаємодії компоненти платформи |

3.2. Поза областю цієї політики (до повідомлень про вразливості яких ми не приймаємо):

  • Інфраструктура третіх сторін, яка не належить Mirkaso;
  • Соціальна інженерія (фішингові атаки на співробітників);
  • Фізичні атаки на офіси або обладнання;
  • Вразливості в програмному забезпеченні, яке Mirkaso використовує, але не розробляє (окрім випадків, коли конфігурація Mirkaso створює вразливість).

4. Правила тестування

4.1. Проводячи тестування безпеки, дослідник повинен дотримуватися таких правил:

4.1.1. Не порушувати дані інших користувачів

  • Не отримувати, не копіювати та не змінювати дані інших користувачів платформи;
  • Не створювати, не видаляти та не модифікувати облікові записи інших користувачів;
  • Не проводити тестування, що може вплинути на доступність платформи для інших користувачів.

4.1.2. Не використовувати DDoS-атаки

  • Не створювати надмірного навантаження на інфраструктуру платформи;
  • Не проводити атаки типу «відмова в обслуговуванні»;
  • Не використовувати інструменти автоматизованого сканування з високою інтенсивністю запитів.

4.1.3. Не використовувати соціальну інженерію

  • Не використовувати фішинг, вішинг або інші методи соціальної інженерії проти співробітників, підрядників або користувачів Mirkaso;
  • Не намагатися отримати фізичний доступ до приміщень або обладнання Mirkaso;
  • Не намагатися отримати доступ до систем третіх сторін, яким довіряє Mirkaso.

4.1.4. Загальні обмеження

  • Не встановлювати шкідливе програмне забезпечення (malware, backdoors, rootkits);
  • Не змінювати або видаляти дані чи файли;
  • Не намагатися отримати доступ до систем моніторингу, логування або резервного копіювання;
  • Дотримуватися чинного законодавства під час тестування.

5. Що ми просимо

5.1. При поданні повідомлення про вразливість, будь ласка, надайте наступну інформацію:

5.1.1. Детальний опис вразливості

  • Тип вразливості (наприклад: XSS, SQL Injection, IDOR, CSRF тощо);
  • Місце виявлення (URL, ендпоінт, компонент);
  • Опис механізму вразливості;
  • CVSS бал (за можливості).

5.1.2. Кроки для відтворення

  • Чіткий, покроковий опис, як відтворити вразливість;
  • Мінімальні умови, необхідні для відтворення;
  • Приклади запитів/відповідей, скриптів або команд (якщо застосовно);
  • Версії програмного забезпечення, браузерів або інструментів, що використовувалися.

5.1.3. Оцінка впливу (Impact Assessment)

  • Опис потенційних наслідків експлуатації вразливості;
  • Оцінка ступеня ризику для користувачів та платформи;
  • Потенційні сценарії атаки;
  • Рекомендації щодо виправлення (якщо є).

5.1.4. Додаткова інформація

  • Чи вже відома ця вразливість публічно?
  • Чи повідомляли ви про неї іншим організаціям?
  • Ваші контактні дані для подальшого спілкування;
  • Чи бажаєте ви залишитися анонімним у публічному розкритті.

6. Час відповіді

6.1. Ми зобов'язуємося дотримуватися наступних термінів при обробці повідомлень про вразливості:

| Етап | Термін | Опис | |---|---|---| | Підтвердження отримання | 48 годин | Автоматичне або ручне підтвердження отримання вашого повідомлення | | Попередня оцінка | 7 днів | Попередня оцінка серйозності вразливості та план дій | | Оновлення | Кожні 7 днів | Регулярні оновлення про статус обробки вашого повідомлення | | Виправлення | Залежить від серйозності | Термін виправлення залежить від складності та пріоритету |

6.2. Класифікація серйозності вразливостей:

| Рівень | Термін виправлення | |---|---| | Критичний (Critical) | До 7 днів | | Високий (High) | До 30 днів | | Середній (Medium) | До 60 днів | | Низький (Low) | До 90 днів |

6.3. Після виправлення вразливості ми повідомимо дослідника та узгодимо терміни публічного розкриття (якщо дослідник не бажає залишитися анонімним).

6.4. Ми залишаємо за собою право відхиляти повідомлення, які:

  • не стосуються систем Mirkaso;
  • не містять достатньої інформації для відтворення;
  • описують теоретичні вразливості без практичного підтвердження;
  • стосуються версій програмного забезпечення, які більше не підтримуються.

7. Винагорода та Hall of Fame

7.1. Bug Bounty. На цей момент Mirkaso не має програми грошових винагород (bug bounty). Ми розглядаємо впровадження такої програми в майбутньому.

7.2. Hall of Fame. Ми висловлюємо подяку дослідникам безпеки, які відповідально повідомляють про вразливості. З дозволу дослідника, його ім'я (або псевдонім) може бути розміщене на сторінці Hall of Fame нашого сайту.

7.3. Swag. Mirkaso може надати обмежену кількість фірмової продукції (swag) дослідникам, які виявили значущі вразливості, за нашим розсудом.

7.4. Згода на публічне розкриття. Ми прагнемо до прозорості. Після виправлення вразливості ми можемо опублікувати підсумковий звіт. Ми завжди узгодимо терміни та формат публікації з дослідником. Дослідник має право вимагати анонімності.

8. Правові питання

8.1. Ми не будемо переслідувати дослідників за добросовісне тестування. Mirkaso зобов'язується не ініціювати правові переслідування та не подавати позовів до дослідників безпеки, які:

  • дотримуються цієї політики;
  • проводять дослідження відповідально та добросовісно;
  • не завдають шкоди платформі, її користувачам або третім особам;
  • не використовують виявлені вразливості для отримання несанкціонованої вигоди;
  • не розголошують інформацію про вразливість до її виправлення без нашої згоди.

8.2. Ми визнаємо, що дослідники, які діють у межах цієї політики, не порушують закони про несанкціонований доступ до комп'ютерних систем.

8.3. Ми залишаємо за собою право призупинити дію цих гарантій, якщо буде встановлено, що дослідник:

  • використовував вразливість для отримання фінансової вигоди;
  • завдав шкоди даним користувачів або інфраструктурі платформи;
  • продавав або передавав інформацію про вразливість третім особам;
  • не дотримувався умов цієї політики.

8.4. Ця політика не є юридично зобов'язуючим контрактом, але виражає нашу добру волю та прагнення до співпраці з дослідницькою спільнотою.

9. Контакти

Для повідомлень про вразливості:

  • Електронна пошта: security@mirkaso.com
  • Тема листа: [Security Report] Короткий опис
  • PGP/GPG ключ: доступний за запитом на security@mirkaso.com

Для загальних питань безпеки:

  • Електронна пошта: support@mirkaso.com
  • Сайт: https://mirkaso.com
  • Власник: ФОП Гайтан Кирило Олександрович, ІНН 3097700915, Україна, 65037, Одеська обл., Одеський р-н, село Лиманка, вул. Малинова, буд. 20А

Ця політика складена відповідно до кращих практик responsible disclosure та міжнародних стандартів безпеки інформаційних систем.