Güvenlik Açığı İfşa Politikası

Constant Contact'tan (SharpSpring) SharpSpring, platformlarımızın güvenliğini ve kullanıcılarımızın verilerini çok ciddiye alır. Bir SharpSpring hizmetinde potansiyel güvenlik açıklarını keşfettiyseniz veya keşfettiğinize inanıyorsanız, bu Güvenlik Açığı Açıklama Programına uygun olarak keşfinizi mümkün olan en kısa sürede bize açıklamanızı öneririz. Güvenlik Açığı Açıklama Programının bir hata ödülünden farklı olduğunu lütfen unutmayın. Güvenlik Açığı Açıklama Programı, etik bilgisayar korsanlarının güvenlik açıklarını bulmasına ve raporlamasına izin verir, ancak parasal tazminat sağlamaz. SharpSpring, herhangi bir gönderimi kabul etme veya reddetme hakkını saklı tutar.

Güvenli liman

Bu [Güvenlik Açıklığı Açıklama Programı] uyarınca güvenlik açıklarını keşfeder ve bildirirseniz, bu araştırmayı şu şekilde değerlendiririz:

  • Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası (CFAA) (ve/veya benzer eyalet yasaları) uyarınca yetkilendirilmiştir ve bu Gönüllü Bilgilendirme Politikasının kazara, iyi niyetle ihlal edilmesi durumunda size karşı yasal işlem başlatmayacağız veya desteklemeyeceğiz;
  • Dijital Binyıl Telif Hakkı Yasası'ndan (DMCA) muaftır ve teknoloji kontrollerini atlattığınız için size karşı bir talepte bulunmayacağız;
  • Ülkemizdeki kısıtlamalardan muaf Kullanım Koşulları güvenlik araştırmasının yürütülmesine müdahale edecek ve bu [Güvenlik Açığı İfşa Programı] kapsamında yapılan işler için bu kısıtlamalardan sınırlı olarak feragat ediyoruz; ve
  • Yasaldır, İnternet'in genel güvenliğine yardımcı olur ve iyi niyetle yürütülür.

Her zaman olduğu gibi, yürürlükteki tüm yasalara uymanız beklenir. Herhangi bir zamanda güvenlik araştırmanızın bu [Güvenlik Açığı İfşa Programı] ile tutarlı olup olmadığı konusunda endişeleriniz varsa veya emin değilseniz, daha ileri gitmeden önce lütfen bizimle iletişime geçin.

Uygunluk

SharpSpring'in herhangi bir bağlı kuruluşunun çalışanı veya aile üyesi veya bu tür bir satıcının mevcut satıcısı veya çalışanı iseniz bu programa katılamazsınız. Ayrıca (i) ABD yaptırımlarının hedefi olan bir ülkede veya bölgede (Küba, İran, Suriye, Kuzey Kore veya Ukrayna'nın Kırım bölgesi dahil), (ii) Özel olarak belirlenmiş bir ülkede veya bölgedeyseniz de katılmanız yasaktır. ABD Hazine Bakanlığı Yabancı Varlıkları Kontrol Ofisi tarafından Belirlenmiş Ulusal veya Engellenmiş Kişi veya bu tür bir kişi veya kuruluş adına başka bir şekilde sahip olunan, kontrol edilen veya hareket eden veya (iii) ABD ticaret ve ihracat kontrol yasalarına göre yasaklanmış bir taraf.

İsteğe Bağlı Bilgilendirme Politikası:

Bir güvenlik açığının kamuya açıklanması tüm SharpSpring topluluğunu riske atabileceğinden, bu tür potansiyel güvenlik açıklarını, biz onları çözene kadar gizli tutmanızı istiyoruz. Bu nedenle, SharpSpring'in açık yazılı izni olmadan tanımlanan veya iddia edilen güvenlik açığının gönderim ayrıntılarının kamuya açıklanması, gönderimin bu Güvenlik Açığı İfşa Politikasına uygun olmadığını kabul edecektir. 

Güvenlik Açıklarını Keşfetmek

SharpSpring hizmetleri ve ürünleri hakkında sorumlu güvenlik araştırmalarını teşvik ediyoruz. Erişim yetkisine sahip olduğunuz SharpSpring hizmetleri ve ürünleri üzerinde güvenlik açığı araştırması ve testi yapmanıza izin veriyoruz. Araştırmanız ve testiniz hiçbir durumda sınırlama olmaksızın aşağıdakileri içermeyecektir:

  • Size veya yetkili kullanıcılarınıza ait olmayan hesaplara veya verilere erişme veya erişmeye çalışma,
  • Herhangi bir veriyi indirme, değiştirme veya yok etme girişimi,
  • Hizmet reddi saldırısı yürütmek veya yürütmeye çalışmak,
  • İstenmeyen veya yetkisiz e-posta, spam veya diğer istenmeyen mesajlar göndermek veya göndermeye teşebbüs etmek,
  • Herhangi bir SharpSpring hizmetiyle entegre olan üçüncü taraf web sitelerini, uygulamalarını veya hizmetlerini test etmek,
  • Kötü amaçlı yazılımlar, virüsler veya benzeri zararlı yazılımlar göndermek, iletmek, yüklemek, bağlantı kurmak, göndermek veya depolamak veya SharpSpring hizmetlerini başka bir şekilde kesmeye veya bozmaya çalışmak.
  • Geçerli yasaları ihlal eden herhangi bir faaliyet.

Kapsam İçi Güvenlik Açıklarını Raporlama

Bir güvenlik açığı sorunu keşfettiğinizi düşünüyorsanız, lütfen ayrıntıları SharpSpring ile paylaşın. Gönderme Formu. Bize bildirdiğiniz güvenlik açıklarını doğrulamak ve bunlara yanıt vermek için sizinle birlikte çalışacağız. Raporunuz, zamanında onay ve doğrulama için ortağımıza (BugCrowd) iletilecektir. Geçerli olarak kabul edilen her rapor için size "puan" verilir. Tüm olası puanları kazanmak için hatayı bildiren ilk kişi olmalısınız.

Doğrulanan sorunlar, sorunun ciddiyetine uygun bir zaman çizelgesinde (BugCrowd Güvenlik Açığı Derecelendirmesi Taksonomisi tarafından tanımlandığı şekilde) düzeltme için geliştirme ekiplerimize iletilecektir. {https://bugcrowd.com/vulnerability-rating-taxonomy}

Lütfen güvenlik açığı e-postalarını doğrudan SharpSpring çalışanlarına göndermeyin. Sınırlama olmaksızın SharpSpring'e olası bir güvenlik açığını bildiren e-postalar da dahil olmak üzere siz ve SharpSpring arasındaki e-posta iletişimi, özel bilgilerinizi içermemelidir. SharpSpring'e gönderdiğiniz tüm e-posta iletişimlerinin içeriğinin mülkiyet dışı olduğu kabul edilecektir. SharpSpring veya bağlı kuruluşlarından herhangi biri, bu tür iletişimi veya materyali çoğaltma, ifşa etme, iletme, yayınlama, yayınlama ve daha fazla yayınlama dahil ancak bunlarla sınırlı olmamak üzere herhangi bir amaçla kullanabilir.

 

Kapsam dışında 

Aşağıda, gerçek bir güvenlik açığı olduğuna inanmadığınız sürece bildirmemenizi istediğimiz sorunların kısmi bir listesi bulunmaktadır:

  • Anonim kullanıcılar tarafından kullanılabilen formlarda CSRF
  • Bilinen genel dosya veya dizinlerin ifşası (örn. robots.txt)
  • Etki Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC) yapılandırma önerileri
  • Ortak/kamu hizmetlerinde afiş ifşası
  • HTTP/HTTPS/SSL/TLS güvenlik başlığı yapılandırma önerileri
  • Hassas olmayan çerezlerde Secure/HTTPOnly işaretlerinin olmaması
  • Oturumu Kapat Siteler Arası İstek Sahteciliği (CSRF oturumunu kapat)
  • Kimlik Avı veya Sosyal Mühendislik Teknikleri
  • Uygulamanın veya web tarayıcısının 'otomatik tamamlama' veya 'şifreyi kaydet' işlevinin varlığı
  • Gönderen Politikası Çerçevesi (SPF) yapılandırması ve Etki Alanına Dayalı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) önerileri

Bu Güvenlik Açığı İfşa Programına katılarak SharpSpring'in hükümlerini okuduğunuzu ve kabul ettiğinizi onaylıyorsunuz. Kullanım Koşulları ve Gizlilik Bildirimi, Hem de BugCrowd'un Standart Açıklama Koşulları. SharpSpring'in Hizmet Koşulları ile BugCrowd'un Standart Açıklama Koşulları arasında herhangi bir çelişki olması durumunda, SharpSpring'in Hizmet Koşulları geçerli olacaktır.