• Можливості
  • Як працює
  • Тарифи
  • Документація
  • Для агенцій
  • Блог
Вас атакують?
  • English
  • Українська
  • Deutsch
  • Français

Відповідальне розкриття

Ми створюємо продукт безпеки, тож серйозно ставимося до повідомлень про власну безпеку. Якщо ви знайшли вразливість, ця сторінка пояснює, як нам про неї сказати — і що ми обіцяємо натомість.

Область

Входить в область — усе, що впливає на конфіденційність, цілісність чи доступність сервісу Smart WAF і систем, якими ми керуємо:

  • наші edge-ноди та data plane, що фільтрує трафік;
  • API control plane і клієнтський портал;
  • цей вебсайт і його інфраструктура;
  • проблеми ізоляції тенантів (будь-який шлях, що дозволяє одному клієнту дістатися даних іншого).

Не входить в область — повідомлення, на які ми не можемо вплинути або які описують очікувану поведінку:

  • знахідки у сторонніх сервісах, якими ми не керуємо (повідомляйте про них їхнім власникам);
  • об’ємне тестування відмови в обслуговуванні (DoS) проти нашого продакшн-edge — будь ласка, не робіть цього;
  • соціальна інженерія щодо наших працівників, клієнтів чи партнерів;
  • відсутні заголовки безпеки або поради з найкращих практик без доведеного впливу.

Безпечна гавань

Якщо ви добросовісно намагаєтеся дотримуватися цієї політики, ми не будемо ініціювати чи підтримувати судові дії проти вас за ваше дослідження. Добросовісність означає: ви залишаєтеся в межах області, не отримуєте доступ до чужих даних, не змінюєте й не видаляєте їх понад те, що потрібно для демонстрації проблеми, не погіршуєте наш сервіс для інших і даєте нам розумну можливість усунути проблему до її публічного розкриття.

Ми не сприймаємо чесне, обережне дослідження як атаку. Якщо ви не впевнені, чи щось входить в область, спершу запитайте нас.

Чого очікувати

Ми невелика команда, і будемо чесними щодо цього, а не обіцятимемо рівень сервісу, який не можемо гарантувати:

  • ми прагнемо підтвердити отримання вашого повідомлення протягом п’яти робочих днів;
  • ми інформуватимемо вас, поки досліджуємо й підтверджуємо проблему;
  • ми повідомимо, коли вийде виправлення, і з радістю згадаємо вас, якщо ви цього хочете (або збережемо анонімність, якщо ні).

Наразі ми не маємо платної програми винагород за помилки. Визнання та щира подяка — це те, що ми можемо запропонувати сьогодні.

Контакт

Пишіть на security@waf.smartis.site із чітким описом, кроками для відтворення й будь-яким proof-of-concept, яким можете поділитися. Це та сама адреса, що опублікована в нашому машиночитаному /.well-known/security.txt.

Smart WAF

Хмарний WAF у ЄС — фільтрація на межі з повним аудит-логом.

Без кукі, без трекерів.

  • Можливості
  • Як працює
  • Тарифи
  • Документація
  • Для агенцій
  • Блог
  • Контакти
  • Конфіденційність
  • Impressum
  • Умови
  • Відповідальне розкриття