Программа ответственного раскрытия информации о найденных уязвимостях
в группе компаний Московская биржа

Ответственное раскрытие информации о найденных уязвимостях

Группа компаний Московская биржа обеспечивает защиту своих информационных систем и информацию клиентов, передаваемую в Группу. Мы признательны всем тем исследователям информационной безопасности, которые обращаются к нам, чтобы сообщить о потенциальных уязвимостях найденных в любых наших продуктах, системах или информационных активах.

Если вы считаете что нашли потенциальную уязвимость, пожалуйста сообщите нам в соответствии с данной Программой. Мы будем признательны за ваше сообщение и содействие в обнаружении и закрытии обнаруженных уязвимостей.

ВНИМАНИЕ: группа компаний Московская биржа не запускает публичную "bug bounty" программу. Мы не предлагаем и не предоставляем каких-либо вознаграждений за раскрытие деталей касаемо потенциальной уязвимости.

Программа ответственного раскрытия информации о найденных уязвимостях

Исследователи, пытающиеся выявить уязвимость, должны руководствоваться следующими правилами:

1. Не предпринимать какие-либо действия, которые реально могут причинить вред какому-либо юридическому лицу в Группе компаний Московская биржа, нашим клиентам или нашим сотрудникам.
2. Не предпринимать какие-либо действия, которые реально могут остановить или замедлить работу сервисов Группы компаний Московская биржа.
3. Не предпринимать какие-либо действия, которые нарушают Федеральные Законы Российской Федерации, а так же Законы страны где находится исследователь.
4. Не хранить, не распространять, не компрометировать или уничтожать данные, которые принадлежат Группе компаний Московская биржа или нашим клиентам. Если такое все же произошло, то вам следует немедленно остановиться и сообщить об этом нам по указанному ниже адресу. Далее необходимо действовать в соответствии с получаемыми инструкциями от сотрудников Группы компаний. Эти шаги позволят нам защитить скомпрометированные данные, а так же избежать вам дальнейших действий в рамках законодательства Российской Федерации.
5. Не инициируйте реальные мошеннические транзакции.
6. Предоставляйте Группе компаний Московская биржа адекватное время чтобы исправить любую выявленную уязвимость, прежде чем информация об уязвимости будет передана третьим лицам или опубликована в любом источнике информации.

В рамках Программы ответственного раскрытия информации о найденных уязвимостях Группа компаний Московская биржа не будет предпринимать в ваш адрес каких-либо действий в рамках законодательства Российской Федерации как к злоумышленнику. В случае несоблюдения указанных выше правил Группа компаний Московская биржа оставляет за собой право предпринять все необходимые действия.

Когда отчет отправлен в адрес Группы мы в течении 2 рабочих дней проводим исследование выявленной уязвимости и предоставляем вам первичную информацию. В случае подтверждения выявленной уязвимости мы будем держать вас в курсе относительно сроков устранения. При этом вам не следует публиковать где-либо информацию о выявленной уязвимости до ее устранения.

Формат информирования об уязвимости

Для того чтобы сообщить об уязвимости необходимо включить в письмо максимально детализированную информацию, которая должна включать:

• адрес уязвимой системы;
• шаги которые необходимо предпринять для демонстрации уязвимости;
• утилиты или ссылки на них, необходимые для демонстрации уязвимости;
• иные артефакты, необходимые для демонстрации уязвимости (в том числе скриншоты, если это возможно).

Уязвимости не принимаемые к рассмотрению

Есть ряд уязвимостей, которые не будут приниматься в рамках Программы. Перечень не принимаемых уязвимостей:

• Проверки системы физической защиты.
• Социальная инженерия. Например, создание ложных страниц на сторонних ресурсах для сбора логинов и паролей.
• Фишинг.
• DDoS-атаки.
• Атаки на исчерпание ресурсов серверов.

Направить ваш отчет можно по адресу: help@moex.com