Компания Foxit очень серьезно относится к безопасности и стремится предоставлять наиболее безопасные в отрасли решения и услуги, чтобы не подвергать риску данные и системы клиентов. В Foxit мы изучаем все полученные сообщения об уязвимостях и принимаем оптимальные меры для защиты клиентов. В Foxit убеждены, что слабые места любой технологии можно найти в сотрудничестве с квалифицированными исследователями проблем безопасности.
Если вы один из таких исследователей и вам удалось обнаружить в наших продуктах и услугах уязвимость системы безопасности, мы будем признательны за ответственное сообщение нам об этой проблеме.
Если вы обнаруживаете подтвержденную уязвимость согласно действующей в Foxit Политике ответственного раскрытия, наша рабочая группа по безопасности обязуется:
- оперативно подтвердить получение вашего сообщения об уязвимости (в течение 48 рабочих часов с момента его отправки);
- тесно сотрудничать с вами для выяснения характера проблемы и составления графика для ее устранения или раскрытия информации о ней;
- уведомить вас об устранении уязвимости, чтобы можно было провести повторное тестирование и убедиться в том, что проблемы больше нет;
- после выпуска исправления опубликовать описание в бюллетене по безопасности и отметить ваш вклад;
- при необходимости опубликовать советы относительно безопасности.
Сообщение о потенциальной уязвимости системы безопасности:
- отправьте на адрес [email protected] письмо с запросом ключа gpg;
- в частном порядке поделитесь с Foxit сведениями о предполагаемой уязвимости, отправив на адрес [email protected] письмо, зашифрованное с помощью ключа gpg;
- предоставьте полные сведения о предполагаемой уязвимости, чтобы рабочая группа Foxit по безопасности могла проверить и воспроизвести проблему.
Foxit не разрешает некоторые исследования по безопасности:
Чтобы способствовать ответственному раскрытию информации, мы просим всех исследователей соблюдать следующие указания по ответственному раскрытию:
- давайте нам на устранение проблемы разумно обоснованное количество времени, прежде чем раскрывать ее широкой публике или третьему лицу. Мы стремимся устранять критические проблемы максимально быстро;
- прилагайте добросовестные усилия, чтобы не нарушать конфиденциальность, не уничтожать данные и не мешать предоставлению программ Foxit или не ухудшать этот процесс.
При исследовании прямо запрещается:
- выполнять действия, которые могут отрицательно повлиять на компанию Foxit и ее пользователей (например, рассылать спам, совершать атаки методом грубой силы, вызывать отказ в обслуживании и т. п.);
- получать доступ или пытаться получить доступ к данным либо сведениям, которые не принадлежат вам;
- уничтожать или повреждать либо пытаться уничтожить или повредить данные либо сведения, которые не принадлежат вам;
- совершать какие-либо физические или электронные атаки на персонал, имущество либо центры обработки данных Foxit;
- применять методы социальной инженерии к операторам службы поддержки, сотрудникам или подрядчикам Foxit;
- нарушать для обнаружения уязвимостей какие-либо законы или соглашения.
Директор по безопасности и генеральный юрисконсульт Foxit ежегодно проверяют нашу политику раскрытия информации об уязвимостях с юридической и операционной точки зрения.
Компания Foxit хочет поблагодарить всех исследователей, которые сообщают об уязвимостях, ведь их вклад помогает нам улучшать общую ситуацию с безопасностью в Foxit.
