Политика раскрытия уязвимостей

TAP приветствует ответственный подход к раскрытию уязвимостей. Эта политика описывает правила, их регулирующие, и порядок представления нам отчёта. Пожалуйста, обратите внимание на то, что время от времени TAP может менять эту политику.

Вы, исследователь безопасности, желающий внести свой вклад в обнаружение уязвимостей в системе безопасности наших приложений, прежде чем заниматься такой деятельностью, должны ознакомиться с этой политикой, и следовать описанным здесь правилам.

TAP не предлагает финансовую компенсацию за предоставление уязвимостей.
TAP может допустить этому числиться в качестве справки, на условиях, упомянутых в правилах публикации.

Мы просим вас не раскрывать информацию об уязвимостях до тех пор, пока TAP не подтвердит их устранение.
Мы просим вас получить наше письменное разрешение на разглашение информации.
Мы просим вас исключать или редактировать конфиденциальную информацию при её раскрытии.

Следующие домены: www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
Мобильное приложение TAP Air Portugal (iOS и Android).

Любой домен, не включенный в диапазон.
Любое другое приложение, будь то мобильное, веб- или другое, не включенное в диапазон.
Уязвимости в интегрированных сервисах, принадлежащих другим компаниям.

Автоматизированное сканирование.
Тесты производительности или стресс-тесты, а также разрушительные атаки, включая тесты на отказ в обслуживании (DoS или DDoS).
Атаки на сотрудников или пользователей TAP, включая социальную инженерию, вымогательство, рассылку спама или фишинг.
Угроза физической безопасности.
Внедрение бэкдоров или любого постоянного доступа.
Внесение изменений в системы или приложения.
Изменение или удаление данных в системах или приложениях.

Вывод результатов автоматических сканирований.
Рекомендации по обеспечению безопасности, такие как заголовки безопасности и флаги файлов cookie.
Небезопасные версии или шифры SSL/TLS.
Проблемы со SPF, DKIM и DMARC.
Уязвимости с минимальным воздействием.
Уязвимость, о которой уже сообщалось или которая обнаружена собственными средствами TAP.

Действовать добросовестно и соблюдать действующее законодательство.
Не нарушать конфиденциальность, целостность или доступность данных.
Не извлекать данные.
Незамедлительно сообщать о любой обнаруженной уязвимости исключительно в TAP.
Проводить тестирования только в том объеме, который необходим для подтверждения уязвимости. Остановиться, как только доказано ее существование.
Если вы не уверены, что тестирование не нанесет ущерба TAP, прекратите тестирование и свяжитесь с нами.
Предоставьте нам достаточную информацию, чтобы воспроизвести уязвимость.
Дайте нам достаточно времени для анализа, воспроизведения и устранения уязвимости.
Предоставьте нам отчет на английском или португальском языке.

Напишите нам, используя этот адрес электронной почты: [email protected].
Мы настоятельно рекомендуем вам зашифровать отчет, используя наш открытый ключ PGP [опубликован здесь].

Своевременно отвечать и подтверждать получение ваших отчетов.
Сотрудничать с вами, чтобы понимать и подтверждать ваши выводы, а также обсуждать проблемы.
Разрабатывать меры по своевременному устранению обнаруженных уязвимостей.
Уведомлять вас об устранении уязвимости.

TAP будет использовать ваши персональные данные только для связи с вами в рамках вашего отчета об уязвимостях.
Однако в случае служебной необходимости мы можем раскрывать ваши персональные данные нашим бизнес-партнерам, но всегда в соответствии с действующим законодательством о персональных данных.
Мы храним ваши персональные данные не дольше 1 года после завершения процесса.