Политика ответственного раскрытия информации о Foxit Software

Компания Foxit очень серьезно относится к безопасности и стремится предоставлять наиболее безопасные в отрасли решения и услуги, чтобы не подвергать риску данные и системы клиентов. В Foxit мы изучаем все полученные сообщения об уязвимостях и принимаем оптимальные меры для защиты клиентов. В Foxit убеждены, что слабые места любой технологии можно найти в сотрудничестве с квалифицированными исследователями проблем безопасности.

Если вы один из таких исследователей и вам удалось обнаружить в наших продуктах и услугах уязвимость системы безопасности, мы будем признательны за ответственное сообщение нам об этой проблеме.

Если вы обнаруживаете подтвержденную уязвимость согласно действующей в Foxit Политике ответственного раскрытия, наша рабочая группа по безопасности обязуется:

  • оперативно подтвердить получение вашего сообщения об уязвимости (в течение 48 рабочих часов с момента его отправки);
  • тесно сотрудничать с вами для выяснения характера проблемы и составления графика для ее устранения или раскрытия информации о ней;
  • уведомить вас об устранении уязвимости, чтобы можно было провести повторное тестирование и убедиться в том, что проблемы больше нет;
  • после выпуска исправления опубликовать описание в бюллетене по безопасности и отметить ваш вклад;
  • при необходимости опубликовать советы относительно безопасности.

Сообщение о потенциальной уязвимости системы безопасности:

  • отправьте на адрес [email protected] письмо с запросом ключа gpg;
  • в частном порядке поделитесь с Foxit сведениями о предполагаемой уязвимости, отправив на адрес [email protected] письмо, зашифрованное с помощью ключа gpg;
  • предоставьте полные сведения о предполагаемой уязвимости, чтобы рабочая группа Foxit по безопасности могла проверить и воспроизвести проблему.

Foxit не разрешает некоторые исследования по безопасности:

Чтобы способствовать ответственному раскрытию информации, мы просим всех исследователей соблюдать следующие указания по ответственному раскрытию:

  • давайте нам на устранение проблемы разумно обоснованное количество времени, прежде чем раскрывать ее широкой публике или третьему лицу. Мы стремимся устранять критические проблемы максимально быстро;
  • прилагайте добросовестные усилия, чтобы не нарушать конфиденциальность, не уничтожать данные и не мешать предоставлению программ Foxit или не ухудшать этот процесс.

При исследовании прямо запрещается:

  • выполнять действия, которые могут отрицательно повлиять на компанию Foxit и ее пользователей (например, рассылать спам, совершать атаки методом грубой силы, вызывать отказ в обслуживании и т. п.);
  • получать доступ или пытаться получить доступ к данным либо сведениям, которые не принадлежат вам;
  • уничтожать или повреждать либо пытаться уничтожить или повредить данные либо сведения, которые не принадлежат вам;
  • совершать какие-либо физические или электронные атаки на персонал, имущество либо центры обработки данных Foxit;
  • применять методы социальной инженерии к операторам службы поддержки, сотрудникам или подрядчикам Foxit;
  • нарушать для обнаружения уязвимостей какие-либо законы или соглашения.

Директор по безопасности и генеральный юрисконсульт Foxit ежегодно проверяют нашу политику раскрытия информации об уязвимостях с юридической и операционной точки зрения.

Компания Foxit хочет поблагодарить всех исследователей, которые сообщают об уязвимостях, ведь их вклад помогает нам улучшать общую ситуацию с безопасностью в Foxit.