ПОДКЛЮЧАЙТЕСЬ!
BUGBOUNTYBY – SECURING YOUR APPS
Безопасное приложение обладает дополнительной ценностью в глазах благодарных пользователей
Что такое «Баг баунти»?
Классический принцип «багбаунти» (Bug Bounty) основан на осуществлении оплаты за проведенное тестирование веб-ресурса или приложения по факту обнаружения значимых уязвимостей, эксплуатация которых может существенно отразиться на безопасности ресурса и его функционировании в целом. Проведение пентеста по принципу "багбаунти" предполагает не формальную проверку всего списка слабых мест и ошибок разработчиков согласно общепризнанным методологиям, а точечное фактическое обнаружение 1-2 наиболее значимых и существенных багов и информирование о таких выявленных проблемах владельца ресурса. Часто компании-разработчики размещают свои продукты в программах "багбаунти" на постоянной основе, чтобы как можно больше этичных хакеров применили свои навыки для всесторонней проверки приложения или ресурса.
Публичная оферта ПрисоединитьсяПУБЛИЧНАЯ ОФЕРТА
1. Основные понятия
1.1. Посетитель Платформы – лицо, пришедшее на ресурс по адресу www.bugbounty.by без цели размещения Заказа или приема Заказа в работу.
Пользователь – Заказчик или Исполнитель, физическое или юридическое лицо, использующее Платформу и принимающее условия настоящей Публичной оферты и желающий разместить Заказы на Платформе www.bugbounty.by или принять размещенные Заказы в работу.
Исполнитель – юридическое или физическое лицо, обладающее специальными познаниями в сфере кибербезопасности и надлежащим образом зарегистрировавшееся на Платформе с целью выполнения Заказа на проведение тестирования на проникновение веб-ресурсов или веб-приложений зарегистрированных Заказчиков по размещенным ими легитимным Заказам, прошедшим модерацию со стороны администрации Платформы www.bugbounty.by.
Заказчик – юридическое или физическое лицо, являющееся собственником и действительным владельцем (их представителем) веб-ресурсов и веб-приложений и надлежащим образом зарегистрировавшееся на Платформе с целью размещения Заказа на проведение тестирования на проникновение принадлежащих ему веб-ресурсов или веб-приложений после прохождения процедуры модерации Заказа со стороны администрации Платформы www.bugbounty.by.
Платформа – специализированный Интернет-ресурс для организации проведения в режиме «онлайн» тестирования на проникновение, расположенный в сети Интернет по адресу www.bugbounty.by, где представлена информация о Заказчиках и размещенных Заказах, Исполнителях, а также о репутации обеих сторон, условия и порядок работы, заказа, оплаты, получения и возврата денежного вознаграждения. Администрация платформы проводит предварительную модерацию размещаемых Заказов, обеспечивает размещение Заказов в виртуальной тестовой среде, предоставляет доступ к тестовой среде согласованному Исполнителю, обеспечивает сохранность базового депозита Заказчика, при необходимости выступает регулятором возникающих споров между Исполнителем и Заказчиком, а также гарантом проводимых на Платформе сделок по проведению тестирования на проникновение. За предоставление указанных услуг администрация Платформы устанавливает плату в размере 10% от суммы сделки на содержание Платформы, уплата процента от сделки осуществляется Исполнителем и удерживается из базового депозита Заказчика в момент перечисления денежных средств Исполнителю. Выплата процента от сделки может быть временно отменена администрацией Платформы в ходе проведения специальных акций и реализации бонусных программ.
Услуга Платформы – проведение тестирования на проникновение в отношении веб-ресурсов и веб-приложений Заказчиков согласно Заказам, размещенным к исполнению на Платформе www.bugbounty.by.
Акцепт оферты — полное и безоговорочное принятие Исполнителем и Заказчиком условий настоящего Договора.
Заказ – надлежащим образом размещенный материал Заказчика (владельца веб-ресурса или веб-приложения) с указанием необходимых требований к тестированию или без такого указания, прошедший модерацию со стороны администрации Платформы на предмет соответствия законодательству Республики Беларусь и международному законодательству. Для размещения не принимаются веб-ресурсы и веб-приложения, связанные с распространением порнографических материалов, а также материалов, предназначенных для разжигания межрасовой, культурной, религиозной вражды или розни, экстремистских материалов и иных материалов, запрещенных законодательством.
2. Публичная оферта и её акцепт
2.1. Настоящая Публичная оферта, а также информация о Заказе, размещенная на сайте, является публичной офертой в соответствии с действующим законодательством.
Акцептом настоящей оферты (договора) признается оформление Заказчиком Заказа на выполнение возмездного тестирования на проникновение в отношении принадлежащих ему веб-ресурса или веб-приложения в тестовой среде Платформы в соответствии с условиями настоящей Публичной оферты.
2.2. Настоящая Публичная оферта содержит все существенные условия для заключения договора оказания услуг и является публичной офертой в соответствии с действующим законодательством.
2.3. Заказчик и Исполнитель своими действиями, направленными на оформление Заказа и принятие его в работу, выражают свое согласие с условиями настоящей Публичной оферты. В случае несогласия посетителя Платформы с условиями настоящей Публичной оферты, регистрация такого Посетителя на Платформе не может быть осуществлена, а такой Посетитель обязан покинуть Платформу.
2.4. Условия настоящей Публичной оферты могут быть изменены администрацией Платформы в одностороннем порядке путем размещения новых условий на веб-ресурсе Платформы. Новые условия Публичной оферты вступают в силу с момента их размещения на веб-ресурсе Платформы, если иное не установлено вводимыми правилами. Условия настоящей Публичной оферты не могут быть изменены Заказчиком или Исполнителем в одностороннем порядке.
2.5. Если Заказчиком и Исполнителем дополнительно не согласованы иные условия, чем те, которые изложены в настоящей Публичной оферте, то к отношениям указанных сторон применяются условия настоящей Публичной оферты, а также нормы действующего законодательства в части, не урегулированной положениями настоящей Публичной оферты. Факт размещения на Платформе Заказа Заказчиком является безоговорочным фактом принятия Заказчиком условий данной Публичной оферты.
2.6. При регистрации на Платформе и/или размещении Заказа Заказчик сообщает администрации Платформы свой адрес электронной почты и тем самым дает согласие на использование данного адреса администрацией Платформы для целей выполнения обязательств перед Заказчиком, в том числе в целях осуществления рассылок информационного характера, содержащих информацию о мероприятиях администрации Платформы, о передаче Заказов Заказчика в работу Исполнителям, а также иную информацию, непосредственно связанную с выполнением обязательств администрации Платформы в соответствии с условиями настоящей Публичной оферты.
3. Предмет публичной оферты
3.1. Предметом настоящей Публичной оферты является предоставление администрацией Платформы www.bugbounty.by Заказчику возможности размещать Заказы на проведение тестирования на проникновение в отношении принадлежащих Заказчику веб-ресурсов и веб-приложений, а также предоставление администрацией Платформы www.bugbounty.by Исполнителю возможности принимать в работу Заказы на проведение тестирования на проникновение в отношении принадлежащих Заказчику веб-ресурсов и веб-приложений.
4. Регистрация на Платформе
4.1. Регистрация на Платформе www.bugbounty.by осуществляется с помощью вкладки «Регистрация» путем ввода данных Заказчика и Исполнителя в представленную на веб-ресурсе Платформы форму регистрации.
4.2. Регистрация на платформе www.bugbounty.by является обязательной для размещения Заказа и принятия Заказа в работу. Заказчик имеет право выбора опции отображения сведений о нем другим пользователям Платформы путем выбора опции «Отображать информацию о Заказчике» или «Скрыть информацию о Заказчике» (опция анонимности). В случае выбора опции «Отображать информацию о Заказчике» сведения о физическом или юридическом лице, разместившем Заказ, будут доступны для Исполнителей. В случае выбора опции «Скрыть информацию о Заказчике» сведения о физическом или юридическом лице, разместившем Заказ, будут недоступны для Исполнителей и отображаться в формате «User1..2…N» в порядке очередности поступления Заказов.
4.3. Администрация Платформы не несет ответственности за точность и правильность информации, предоставляемой Заказчиком и Исполнителем при регистрации, однако оставляет за собой право проведения проверочных мероприятий в отношении реквизитов, указанных при регистрации. Регистрация на Платформе в качестве верифицированных Исполнителей физических лиц осуществляется при предоставлении электронной копии изображения документа, удостоверяющего личность. Администрация Платформы гарантирует конфиденциальность и защиту персональных данных Исполнителя. Регистрация на Платформе в качестве Исполнителей юридических лиц осуществляется с предоставлением копии документа о государственной регистрации юридического лица. Платформа БагБаунтиБай допускает два вида регистрации Исполнителей: с верификацией и без верификации. Верификация заключается в предоставлении администрации Платформы изображения документа, подтверждающего личность Исполнителя. При прохождении верификации аккаунт Исполнителя получает статус верифицированного, что впоследствии может быть принято во внимание Заказчиками при одобрении кандидатуры такого Исполнителя для выполнения размещаемых Заказов. При одобрении Заказчиком кандидатуры неверифицированного Исполнителя администрация Платформы не несёт ответственности за сохранность данных об уязвимостях, получаемых в ходе тестирования.
4.4. Заказчик и Исполнитель обязуются не сообщать третьим лицам логин и пароль, указанные ими при регистрации. Заказчик и Исполнитель самостоятельно несут ответственность за все возможные негативные последствия в случае передачи логина и пароля третьим лицам. В случае возникновения у Заказчика и Исполнителя подозрений относительно безопасности их логина и пароля или возможности их несанкционированного использования третьими лицами, Заказчик и Исполнитель обязуются незамедлительно уведомить об этом администрацию Платформы, направив соответствующее электронное письмо по адресу: bugbountyby@gmail.com.
4.5. Общение Заказчика/Исполнителя с операторами Call-центра, менеджерами и иными представителями администрации Платформы должно строиться на принципах общепринятой морали и коммуникационного этикета. Строго запрещено использование нецензурных слов, брани, оскорбительных выражений, а также угроз и шантажа, вне зависимости от того, в каком виде и кому они были адресованы.
5. Заказ и порядок его размещения
5.1. Заказ услуги осуществляется Заказчиком в соответствии с процедурами, указанными на веб-ресурсе Платформы в разделе «Как оформить заказ».
5.2. При размещении Заказа на Платформе www.bugbounty.by Заказчик имеет право по собственному выбору указать ссылку на собственный веб-ресурс или веб-приложение, размещенные им на собственной площадке, либо осуществить загрузку необходимого программного кода на сервер администрации Платформы для размещения его в изолированной виртуальной среде администрации Платформы. В любом из названных случаев веб-ресурс или веб-приложение Заказчика проходят предварительную модерацию со стороны администрации Платформы. О прохождении модерации, отклонении Заказа в ходе модерации, размещении Заказа на Платформе администрация Платформы уведомляет Заказчика путем отправления соответствующего письма на адрес электронной почты, указанный при регистрации. Заказчик вправе аннулировать собственный Заказ, размещенный на Платформе, в любой момент до принятия его в работу Исполнителем. Об отмене Заказа администрация Платформы уведомляет Заказчика путем отправки соответствующего письма на адрес электронной почты, указанный при регистрации. В случае, если Заказ был принят в работу Исполнителем, после чего отменен Заказчиком, Заказчик выплачивает Исполнителю возмещение фактически понесенных затрат на момент отмены Заказа в пределах базового депозита, размещенного при регистрации Заказа. Заказчик и Исполнитель вправе урегулировать вопрос о возмещении затрат, понесенных Исполнителем до отмены выполнения Заказа, самостоятельно либо с привлечением администрации Платформы.
5.3. В случае отмены Заказа такой Заказ перемещается в архив, откуда безвозвратно удаляется из списка размещавшихся Заказов через три года со дня его размещения, а также из виртуальной тестовой среды администрации Платформы. Отмененный Заказ может быть восстановлен Заказчиком из архива.
5.4. После размещения Заказа на Платформе такой размещенный Заказ становится доступным для принятия в работу Исполнителями. Заказчик вправе ограничить работу по Заказу, установив опцию «Один Исполнитель» или «Доступно для всех». При выборе опции «Доступно для всех» сведения о принятии в работу Заказа отображаются для всех участников Платформы с указанием количества Исполнителей, принявших Заказ в работу, но не более пяти. Заказчик имеет право самостоятельно назначить Заказ к выполнению конкретному выбранному им Исполнителю.
5.5. При выполнении Заказа несколькими Исполнителями Заказчик оплачивает работы того исполнителя, отчет об обнаруженных уязвимостях которого будет наиболее информативным для Заказчика. Степень информативности отчета оценивается Заказчиком лично. Администрация Платформы не вправе вмешиваться в выбор Заказчиком Исполнителя для оплаты выполненного Заказа и комментировать представленный таким Исполнителем отчет для других Исполнителей.
5.6. Исполнитель несет полную ответственность за проведение тестирования на проникновение и предоставление достоверных сведений об обнаруженных уязвимостях в отчете для обеспечения надлежащего исполнения Исполнителем своих обязательств перед Заказчиком. Каждая Сторона гарантирует другой Стороне, что обладает соответствующими навыками и достаточным объемом дееспособности, а равно всеми иными правами и полномочиями, необходимыми для выполнения положений настоящей публичной оферты.
5.7. Для обеспечения надлежащего качества выполнения сторонами своих обязательств на Платформе www.bugbounty.by действует система определения репутации. Для всех вновь регистрируемых Заказчиков и Исполнителей базовая репутация устанавливается администрацией Платформы равной 1. Сведения о репутации и дате регистрации участника Платформы в обязательном порядке отображаются для всех посетителей, Заказчиков и Исполнителей Платформы, таким образом последние уведомляются о возможных рисках, связанных с размещением Заказа определенным Заказчиком и принятием его в работу определенным Исполнителем. Для всех Исполнителей и Заказчиков в процессе их взаимоотношений по выполнению Заказов и проведении расчетов за выполненный Заказ становится доступной опция повышения репутации. Заказчики и Исполнители, вступая во взаимоотношения по размещенным Заказам, могут взаимно повышать репутацию друг друга. Заказчик может повысить собственную репутацию на значение «+1», если он разместил Заказ и после выполнения произвел своевременную оплату в пределах оговоренной суммы, при этом от Исполнителя не была выставлена претензия по поводу произведенной оплаты. Исполнитель может повысить собственную репутацию на значение «+1», если он принял Заказ в работу, выполнил его в установленные сроки и после выполнения предоставил Заказчику качественный Отчет, при этом от Заказчика не была выставлена претензия по поводу качества проделанной работы и качества предоставленного Отчета.
5.8. На Платформе www.bugbounty.by применяется иерархическая система обработки Заказов, при которой определены следующие группы по уровню репутации: 1 – 100, 101 – 500, 501+. Каждый Заказчик и каждый Исполнитель по умолчанию могут размещать и принимать в работу Заказы только из репутационной группы не ниже той, к которой они относятся в текущий момент времени с учетом ранее размещенных/обработанных Заказов. Заказчик вправе по своему усмотрению выбрать опцию «Доступно для всех» по размещаемому им Заказу, таким образом сделав Заказ доступным для выполнения Исполнителями из более низких репутационных групп. Принцип иерархичности репутации предполагает ограничение по верхнему показателю, то есть для Заказчиков и Исполнителей из высшей репутационной группы доступны для просмотра и размещения Заказы из любой репутационной группы.
6. Порядок оказания услуг
6.1. Тестирование на проникновение в отношении веб-ресурсов или веб-приложений Заказчика по размещенным на Платформе www.bugbounty.by Заказам осуществляются Исполнителем следующими способами:
6.1.1. На площадке Заказчика.
При этом тестированию подвергается действующий ресурс Заказчика, самостоятельно размещенный им в сети Интернет. Эксплуатация обнаруженных уязвимостей может быть осуществлена только после получения явно выраженного согласия Заказчика. По умолчанию срок выполнения тестирования на проникновение после приема Заказа в работу составляет 15 рабочих дней считая день приема Заказа в работу. Заказ может быть выполнен досрочно. Заказчик вправе установить срок выполнения Заказа по своему усмотрению, но не свыше 90 календарных дней. По истечении максимального срока размещения Заказ автоматически перемещается в архив, откуда Заказчик может снова поднять и разместить такой Заказ на Платформе повторно и необходимое число раз. Об истечении срока размещения Заказа соответствующий Заказчик уведомляется администрацией Платформы путем направления письма на ящик электронной почты, указанный им при регистрации.
6.1.2. На площадке Платформы.
Администрация Платформы предоставляет Заказчику возможность копирования необходимых материалов в тестовую изолированную среду для проведения тестирования на проникновение в такой среде. При этом у Исполнителя, работающего в тестовой среде, нет ограничений по эксплуатации обнаруженных уязвимостей. Администрация Платформы гарантирует создание и размещение в изолированной тестовой среде необходимое количество копий материалов Заказчика, соответствующее количеству Исполнителей одного и того же Заказа. При этом сам Заказ (первая копия) и две последующие копии материалов размещаются в тестовой изолированной среде. При необходимости размещения большего количества копий в тестовой изолированной среде расходы по оплате услуг хостинга в необходимом объеме самостоятельно возмещаются Заказчиком.
6.1.3 Каждый Заказчик имеет право размещения неограниченного количества Заказов. Каждый Исполнитель имеет право принять в работу единовременно неограниченное количество Заказов при репутации выше 500; не более пяти Заказов при репутации выше 100; не более трех Заказов при репутации 100 и ниже.
6.2. Базовый депозит. Для подтверждения платежеспособности Заказчика и гарантии уплаты вознаграждения Исполнителю, а также отчислений в виде 5% от суммы Заказа в адрес администрации Платформы каждый Заказчик размещает базовый депозит в сумме, эквивалентной 100 долларам США по курсу Национального банка Республики Беларусь на дату размещения Заказа при размещении Заказа для целевых групп с репутацией ниже 501. Для размещения Заказа Заказчиком из репутационной группы с репутацией выше 501 размещение базового депозита не требуется.
6.3. Выполнение Заказа. Исполнитель производит тестирование на проникновение всеми известными ему техниками и средствами. Запрещается при выполнении Заказа без согласования с Заказчиком применение методов социальной инженерии и вредоносного программного обеспечения. Исполнителю запрещается проводить тестирование на проникновение в отношении самой изолированной виртуальной среды в ходе выполнения Заказа.
6.4. В целях недопущения случаев мошенничества и в целях обеспечения надлежащего выполнения обязательств Исполнителя перед Заказчиком, администрация Платформы оставляет за собой право осуществления выборочных проверок отчетов Исполнителей, а также проверяет отчеты Исполнителей по запросу Заказчика на предмет их соответствия уязвимостям тестируемых веб-сервисов и приложений.
6.5. При принятии отчета от Исполнителя Заказчик обязан проверить изложенные в отчете сведения об обнаруженных уязвимостей и самостоятельно оценить степень соответствия отчета реально существующим уязвимостям. После согласования отчета Заказчиком с его стороны подлежит уплате вознаграждение Исполнителю. До момента осуществления выплаты тестируемый ресурс Заказчика в исходном состоянии хранится у администрации Платформы для возможности потенциального разрешения спора (при условии выбора опции тестирования в изолированной среде Платформы). После осуществления оплаты выполненного заказа тестируемый веб-ресурс или веб-приложение безвозвратно удаляются из тестовой среды администрации Платформы. Администрация Платформы гарантирует сохранность программных кодов тестируемых ресурсов, а также их безвозвратное удаление после выполнения Заказа. При наличии у Заказчика претензий к качеству оказанных Исполнителем услуг Заказчик вправе, приостановив выплату вознаграждения, обратиться к администрации Платформы для проведения процедуры урегулирования спора. Решение администрации Платформы по рассматриваемому спору является обязательным для обеих сторон, окончательным и обжалованию не подлежит.
6.6. При тестировании ресурсов на собственной площадке Заказчика при размещении Заказа Заказчик предоставляет администрации Платформы ссылку на запароленный архив с исходными данными для тестирования с указанием контрольной хэш-суммы файла с архивом и без указания пароля для распаковки архива. Такой архив может быть распакован при наступлении спорной ситуации после предоставления отчета Исполнителем для урегулирования спора, в том числе путем оценки администрацией Платформы степени достоверности представленного отчета и соответствия обнаруженных уязвимостей реально существующим в исходном коде Заказа. После выполнения заказа администрация Платформы гарантирует безвозвратное удаление архивного файла.
6.7. Срок исполнения Заказа зависит от времени, необходимого Исполнителю на обработку Заказа, но не может по умолчанию превышать 15 календарных дней со дня принятия Заказа в работу включая день принятия Заказа в работу. Дальнейшее продление срока допускается только с явно выраженного согласия Заказчика. По результатам выполнения Заказа Исполнитель предоставляет Заказчику детализированный отчет об обнаруженных уязвимостях. Заказ считается исполненным с момента акцепта Заказчиком предоставленного отчета и уплаты вознаграждения Исполнителю в согласованном объеме либо с момента аннулирования Заказа Заказчиком и выплаты Исполнителю денежного вознаграждения за фактически понесенные расходы в пределах базового депозита Заказчика. Право собственности на отчет переходит к Заказчику в момент оплаты услуг Исполнителя. Для Исполнителей из репутационной группы 1-100 является обязательным заполнение типовой формы Отчета, размещенного на Платформе. При этом для Исполнителей из репутационной группы 1-100 возможно предоставление и Отчета собственного образца вместе с типовым Отчетом Платформы. Для Исполнителей из более высоких репутационных групп обязательное заполнение типовой формы Отчета не требуется.
7. Оплата услуг
7.1. Стоимость Заказа указывается на Платформе Заказчиком. Минимальная стоимость размещенного к выполнению Заказа составляет 50 условных единиц, что приравнивается к 50 долларам США на дату размещения Заказа. Заказчик вправе проводить самостоятельную оценку размещенного Заказа в зависимости от его сложности и срочности, но на суммы не менее чем 50 условных единиц Платформы. Для подтверждения размещения базового депозита Заказчик перечисляет на электронный кошелек администрации Платформы необходимую сумму денежных средств с примечанием, содержащим наименование и номер Заказа, размещаемого к выполнению на Платформе. В ходе модерации проверяется, в том числе, размещение базового депозита. После выполнения Заказа при условии акцепта Заказчиком Отчета Исполнителя Платформой перечисляются денежные средства на электронный кошелек такого Исполнителя с примечанием относительно Заказа, за который перечислены денежные средства. Комиссионное вознаграждение, установленное держателями площадок электронных кошельков, возмещается Заказчиком и Исполнителем самостоятельно. С каждого проведенного через Платформу Заказа в пользу администрации Платформы удерживается 5% от суммы Заказа. Указанные 5% удерживаются из базового депозита Заказчика.
7.2. Стоимость Заказа на Платформе может быть изменена Заказчиком в одностороннем порядке, но не может составлять менее 50 условных единиц Платформы. При этом стоимость Заказа на принятый в работу Заказ изменению не подлежит.
7.3. Доступность способов оплаты для конкретного Исполнителя определяется Заказчиком в одностороннем порядке. Исполнитель уведомляется о доступных ему способах оплаты по электронной почте. Исполнитель имеет право выбрать любой доступный ему способ оплаты услуг. Заказчик вправе по своему усмотрению и с учетом технической возможности изменять список способов оплаты услуг, доступных конкретному Исполнителю.
7.4. Заказчик имеет право по своему усмотрению ограничить доступность отдельных способов оплаты услуг в зависимости от стоимости Заказа.
8. Ответственность
8.1. Исполнитель не несет ответственности за ущерб, причиненный тестируемым сервисам Заказчика, размещенным в изолированной виртуальной среде Платформы. Исполнитель несет ответственность за ущерб, причиненный тестируемым сервисам Заказчика, размещенным на собственных площадках Заказчика, в случае эксплуатации обнаруженных уязвимостей без явно выраженного разрешения Заказчика. Явно выраженное согласие указывается Заказчиком в ходе размещения Заказа. В случае запрета Заказчика на эксплуатацию выявленных в ходе тестирования уязвимостей такие уязвимости могут быть проэксплуатированы только после дополнительного разрешения, за которым Исполнитель может обратиться путем направления обращения (тикета) в адрес администрации Платформы. После получения соответствующего тикета администратор Платформы предлагает Заказчику возможность эксплуатации обнаруженной уязвимости. Эксплуатация уязвимостей по Заказам, где Заказчиком установлено ограничение на эксплуатацию уязвимостей (по умолчанию) самостоятельно для Исполнителей запрещена.
8.2. За неисполнение или ненадлежащее исполнение условий настоящей публичной оферты Стороны несут ответственность в соответствии с действующим законодательством.
8.3. Действие непреодолимой силы (форс-мажор)
8.3.1. Стороны освобождаются от ответственности за неисполнение или ненадлежащее исполнение обязательств на время действия непреодолимой силы. Под непреодолимой силой Стороны понимают чрезвычайные и непреодолимые при данных условиях обстоятельства, препятствующие исполнению своих обязательств Сторонами. К ним относятся стихийные явления (землетрясения, наводнения и т. п.), обстоятельства общественной жизни (военные действия, чрезвычайные положения, забастовки, эпидемии и т. п.), действия мер государственных органов, прямо или косвенно влияющие на какую-либо из Сторон. В течение этого времени Стороны не имеют взаимных претензий, и каждая из Сторон принимает на себя свой риск последствия форс-мажорных обстоятельств.
8.4. При одобрении Заказчиком кандидатуры неверифицированного Исполнителя администрация Платформы не несёт ответственности за сохранность данных об уязвимостях, получаемых в ходе тестирования.
9. Конфиденциальность и защита информации
9.1. Персональные данные Исполнителя и Заказчика обрабатываются администрацией Платформы в соответствии с действующим законодательством.
9.2. При регистрации на Платформе Исполнитель и Заказчик предоставляют следующую информацию: выбранное имя пользователя для Платформы, контактный номер телефона, адрес электронной почты, а производят загрузку копии документа, удостоверяющего личность (для физических лиц). При регистрации на Платформе Исполнитель и Заказчик предоставляют следующую информацию: полное наименование юридического лица, УНП, платежные реквизиты, юридический и фактический адрес, а также копию документа, удостоверяющего государственную регистрацию (для юридических лиц).
9.3. Предоставляя свои персональные данные администрации Платформы, Исполнитель и Заказчик соглашаются на их обработку администрацией Платформы, в том числе в целях обеспечения выполнения взаимных обязательств Сторон в рамках настоящей Публичной оферты, контроля результатов работы Платформы, клиентской поддержки, а также качества услуг, оказываемых Исполнителем.
9.4. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (в том числе передачу третьим лицам, не исключая трансграничную передачу, если необходимость в ней возникла в ходе исполнения обязательств), обезличивание, блокирование, удаление, уничтожение персональных данных.
9.4.1. Администрация Платформы имеет право отправлять информационные, в том числе рекламные сообщения, на электронную почту Исполнителя и Заказчика с его согласия, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение сообщения. Исполнитель и Заказчик вправе отказаться от получения рекламной и другой информации без объяснения причин отказа путем информирования администрации Платформы посредством направления соответствующего заявления на электронный адрес bugbounty@gmail.com. Сервисные сообщения, информирующие Заказчика о Заказе и этапах его обработки, отправляются автоматически и не могут быть отклонены Заказчиком.
9.4.2 Отзыв согласия на обработку персональных данных осуществляется путем отзыва акцепта настоящей Публичной оферты. Отзыв согласия на обработку персональных данных влечет исключение Заказчика или Исполнителя из списка участников Платформы.
9.6. Администрация получает информацию об ip-адресе зарегистрированных Исполнителей и Заказчиков Платформы www.bugbounty.by. Данная информация не используется для установления личности посетителя, статистика ip-адресов входа в систему фиксируется администрацией Платформы и в обязательном порядке предоставляется участнику в личном кабинете. При установлении фактов доступа к Платформе с неизвестных участнику IP-адресов такие Исполнитель или Заказчик обязаны незамедлительно уведомить о выявленном факте администрацию Платформы.
9.7. Администрация Платформы не несет ответственности за сведения, предоставленные Заказчиком и Исполнителем на Платформе в общедоступной форме.
10. Срок действия Публичной оферты
10.1. Настоящая Публичная оферта вступает в силу с момента ее акцепта Заказчиком и Исполнителем в соответствии с п. 2.3. настоящей Публичной оферты и действует до момента отзыва акцепта Публичной оферты. Отзыв оферты может быть осуществлён Заказчиком и Исполнителем в любое время, но это не является основанием для отказа от обязательств Исполнителя и Заказчика по уже принятым в работу Заказам.
11. Дополнительные условия
11.1. Платформа www.bugbounty.by и предоставляемые сервисы работают в формате 24/7/365. Платформа www.bugbounty.by и предоставляемые сервисы могут быть временно частично или полностью недоступны по причине проведения профилактических или иных работ или по любым другим причинам технического характера, но не более 5% общего суммарного времени работы. Администрация Платформы имеет право периодически проводить необходимые профилактические или иные работы с обязательным предварительным уведомлением Исполнителей и Заказчиков на ресурсе Платформы.
11.2. К отношениям между Исполнителем и Заказчиком применяются положения действующего законодательства.
11.3. В случае возникновения претензий по порядку и условиям оказания услуг Исполнителем и оплаты оказанных услуг Заказчиком Стороны будут стараться решить такие претензии путем переговоров, при недостижении соглашения спор может быть передан на рассмотрение администрации Платформы. Решение администрации Платформы по конкретному спору между Заказчиком и Исполнителем является окончательным и обжалованию не подлежит.
11.4. Признание судом недействительным одного или нескольких положений настоящей публичной оферты не влечет недействительность других положений и публичной оферты в целом.
11.5. Пользуясь услугами Платформы, зарегистрированный Заказчик и Исполнитель подтверждают, что ознакомлены со всеми пунктами настоящей публичной оферты и безусловно принимают их.
Владельцам ресурсов
Безопасность любого веб-ресурса определяет дополнительную ценность в глазах клиентов (посетителей, контрагентов). Размещая заказ на тестирование своего веб-ресурса сообществом whitehats, наши клиенты получают дополнительное конкурентное преимущество - ведь уверенность клиента в секьюрности ресурса и сервиса говорит сама за себя! Для размещения ресурса в списке тестируемых свяжитесь с нами, заполнив форму обратной связи внизу главной страницы. Платформа БагБаунтиБай гарантирует, что информация о возможных уязвимостях, обнаруженная нашим сообществом в ходе тестирования, будет передана исключительно владельцу ресурса.
Написать намБагхантерам
В настоящее время существует большое количество площадок, которые размещают у себя заказы различных ресурсов на перманентное исследование безопасности. БагБаунтиБай - одна из таких площадок. С нашей помощью вы можете совершенно законно опробовать свои силы в тестировании реальных веб-ресурсов, владельцы которых присоединились к багбаунти-программе.
Энтузиастам
Приглашаем заинтересованных креативных ребят вносить свой вклад в развитие Платформы БагБаунтиБай. По всем вопросам сотрудничества с нами пишите на bugbountyby@gmail.com. Да, мы знаем, что корпоративный ящик выглядит круче и более модно)) Однако практика показывает, что содержимое Гугл-аккаунтов порой обладает более уверенной и стойкой защитой!
Методики
Становясь зарегистрированным участником настоящей онлайн Платформы, вы получаете доступ к базе данных заказов и интеллектуальному ресурсу профессиональных тестировщиков, специализирующихся именно на отыскании уязвимостей. Такой подход позволяет Заказчикам максимально обезопасить свои ресурсы, а Исполнителям – получить легальное вознаграждение за обнаруженные проблемы с безопасностью. Повышайте уровень защищённости Ваших веб-ресурсов и разработок вместе с нами!
XSS
Кроссайтовый скриптинг является проверкой исследуемых страниц на правильную обработку входных данных с целью недопущения активации нелегитимных скриптов.
Bruteforce
Брутфорс - он и есть брутфорс! Прямой жесткий натиск с целью подбора паролей к учетным записям.
OWASP WSTG
Профессиональная команда БагБаунтиБай производит проверку безопасности исследуемых веб-ресурсов строго по релевантным best practices.
Injection
Проверка валидации входящих запросов (SQL, noSQL, OS command, ORM, LDAP.
OWASP TOP-10
Безусловно, самая главная проверка веб-приложения по методологии OWASP (версия 2021): наиболее типовые и коварные уязвимости.
Hijacking
Проверка, сопряженная с попытками перехвата сессионных данных и подмены легитимных сведений в них.
ФАКТЫ О ПЛАТФОРМЕ
- Более 75 активных участников
- Более 20 размещенных заказов
- Более 15 успешных пентестов полного цикла
- Три собственные команды тестировщиков