Программа ответственного раскрытия информации о найденных уязвимостях
в группе компаний Московская биржа
Ответственное раскрытие информации о найденных уязвимостях
Группа компаний Московская биржа обеспечивает защиту своих информационных систем и информацию клиентов, передаваемую в Группу. Мы признательны всем тем исследователям информационной безопасности, которые обращаются к нам, чтобы сообщить о потенциальных уязвимостях найденных в любых наших продуктах, системах или информационных активах.
Если вы считаете что нашли потенциальную уязвимость, пожалуйста сообщите нам в соответствии с данной Программой. Мы будем признательны за ваше сообщение и содействие в обнаружении и закрытии обнаруженных уязвимостей.
ВНИМАНИЕ: группа компаний Московская биржа не запускает публичную "bug bounty" программу. Мы не предлагаем и не предоставляем каких-либо вознаграждений за раскрытие деталей касаемо потенциальной уязвимости.
Программа ответственного раскрытия информации о найденных уязвимостях
Исследователи, пытающиеся выявить уязвимость, должны руководствоваться следующими правилами:
- Не предпринимать какие-либо действия, которые реально могут причинить вред какому-либо юридическому лицу в Группе компаний Московская биржа, нашим клиентам или нашим сотрудникам.
- Не предпринимать какие-либо действия, которые реально могут остановить или замедлить работу сервисов Группы компаний Московская биржа.
- Не предпринимать какие-либо действия, которые нарушают Федеральные Законы Российской Федерации, а так же Законы страны где находится исследователь.
- Не хранить, не распространять, не компрометировать или уничтожать данные, которые принадлежат Группе компаний Московская биржа или нашим клиентам. Если такое все же произошло, то вам следует немедленно остановиться и сообщить об этом нам по указанному ниже адресу. Далее необходимо действовать в соответствии с получаемыми инструкциями от сотрудников Группы компаний. Эти шаги позволят нам защитить скомпрометированные данные, а так же избежать вам дальнейших действий в рамках законодательства Российской Федерации.
- Не инициируйте реальные мошеннические транзакции.
- Предоставляйте Группе компаний Московская биржа адекватное время чтобы исправить любую выявленную уязвимость, прежде чем информация об уязвимости будет передана третьим лицам или опубликована в любом источнике информации.
В рамках Программы ответственного раскрытия информации о найденных уязвимостях Группа компаний Московская биржа не будет предпринимать в ваш адрес каких-либо действий в рамках законодательства Российской Федерации как к злоумышленнику. В случае несоблюдения указанных выше правил Группа компаний Московская биржа оставляет за собой право предпринять все необходимые действия.
Когда отчет отправлен в адрес Группы мы в течении 2 рабочих дней проводим исследование выявленной уязвимости и предоставляем вам первичную информацию. В случае подтверждения выявленной уязвимости мы будем держать вас в курсе относительно сроков устранения. При этом вам не следует публиковать где-либо информацию о выявленной уязвимости до ее устранения.
Формат информирования об уязвимости
Для того чтобы сообщить об уязвимости необходимо включить в письмо максимально детализированную информацию, которая должна включать:
- адрес уязвимой системы;
- шаги которые необходимо предпринять для демонстрации уязвимости;
- утилиты или ссылки на них, необходимые для демонстрации уязвимости;
- иные артефакты, необходимые для демонстрации уязвимости (в том числе скриншоты, если это возможно).
Уязвимости не принимаемые к рассмотрению
Есть ряд уязвимостей, которые не будут приниматься в рамках Программы. Перечень не принимаемых уязвимостей:
- Проверки системы физической защиты.
- Социальная инженерия. Например, создание ложных страниц на сторонних ресурсах для сбора логинов и паролей.
- Фишинг.
- DDoS-атаки.
- Атаки на исчерпание ресурсов серверов.
Направить ваш отчет можно по адресу: help@moex.com
Уважаемые посетители сайта, чтобы отправить свое предложение или задать вопрос, используйте форму обратной связи.
Мы ценим Ваше мнение и обязательно рассмотрим Ваши вопросы и в случаях, когда это возможно, подтвердим получение Письма и предоставим письменный ответ.
В случае наличия обоснованных и существенных претензий, Биржа совместно с Экспертными Советами примет меры по разработке и реализации соответствующих изменений.