Beleid voor openbaarmaking van kwetsbaarheden

SharpSpring van Constant Contact (SharpSpring) neemt de beveiliging van onze platforms en de gegevens van onze gebruikers zeer serieus. Als u potentiële beveiligingsproblemen in een SharpSpring-service hebt ontdekt of denkt te hebben ontdekt, raden we u aan om uw ontdekking zo snel mogelijk aan ons bekend te maken in overeenstemming met dit programma voor het bekendmaken van kwetsbaarheden. Houd er rekening mee dat het Vulnerability Disclosure Program anders is dan een bug bounty. Het Vulnerability Disclosure Program stelt ethische hackers in staat om kwetsbaarheden te vinden en te rapporteren, maar biedt geen geldelijke compensatie. SharpSpring behoudt zich het recht voor om inzendingen te accepteren of te weigeren.

Veilige haven

Als u beveiligingsproblemen ontdekt en meldt in overeenstemming met dit [Kwetsbaarheidsprogramma], beschouwen we dit onderzoek als:

  • Geautoriseerd in overeenstemming met de Computer Fraud and Abuse Act (CFAA) (en/of vergelijkbare staatswetten), en we zullen geen juridische stappen tegen u starten of ondersteunen wegens onopzettelijke, te goeder trouw schendingen van dit Vrijwillige Openbaarmakingsbeleid;
  • Vrijgesteld van de Digital Millennium Copyright Act (DMCA), en we zullen geen claim tegen u indienen wegens het omzeilen van technologische controles;
  • Vrijgesteld van beperkingen in onze Service Voorwaarden dat het uitvoeren van beveiligingsonderzoek zou belemmeren, en we zien af ​​van deze beperkingen op een beperkte basis voor werk dat wordt gedaan in het kader van dit [Kwetsbaarheidsprogramma]; en
  • Wettig, nuttig voor de algehele veiligheid van internet en te goeder trouw uitgevoerd.

Er wordt van u verwacht, zoals altijd, dat u zich houdt aan alle toepasselijke wetten. Als u zich op enig moment zorgen maakt of niet zeker weet of uw beveiligingsonderzoek in overeenstemming is met dit [Programma voor openbaarmaking van kwetsbaarheden], neem dan contact met ons op voordat u verder gaat.

Verkiesbaarheid

U mag niet deelnemen aan dit programma als u een werknemer of familielid bent van een werknemer, of een huidige verkoper of werknemer van een dergelijke verkoper, van SharpSpring of een van haar dochterondernemingen. U mag ook niet deelnemen als u (i) zich in een land of gebied bevindt dat het doelwit is van Amerikaanse sancties (inclusief Cuba, Iran, Syrië, Noord-Korea of ​​de Krim-regio van Oekraïne), (ii) is aangewezen als een speciaal Aangewezen nationale of geblokkeerde persoon door het Office of Foreign Assets Control van het Amerikaanse ministerie van Financiën of anderszins eigendom van, gecontroleerd of handelend namens een dergelijke persoon of entiteit, of (iii) anderszins een verboden partij volgens de Amerikaanse handels- en exportwetten.

Discretionair openbaarmakingsbeleid:

Omdat openbaarmaking van een beveiligingsprobleem de hele SharpSpring-gemeenschap in gevaar kan brengen, eisen we dat u dergelijke potentiële kwetsbaarheden vertrouwelijk houdt totdat we ze kunnen aanpakken. Daarom zal openbare openbaarmaking van de indieningsdetails van een geïdentificeerde of vermeende kwetsbaarheid zonder uitdrukkelijke schriftelijke toestemming van SharpSpring de indiening beschouwen als niet-conform dit beleid inzake openbaarmaking van kwetsbaarheden. 

Beveiligingsproblemen ontdekken

We moedigen verantwoord beveiligingsonderzoek naar de SharpSpring-services en -producten aan. We staan ​​u toe om kwetsbaarheidsonderzoek en testen uit te voeren op de SharpSpring-services en -producten waartoe u geautoriseerde toegang hebt. Uw onderzoek en testen zullen in geen geval, zonder beperking, het volgende inhouden:

  • Toegang krijgen tot, of proberen toegang te krijgen tot, accounts of gegevens die niet van u of uw geautoriseerde gebruikers zijn,
  • Elke poging om gegevens te downloaden, te wijzigen of te vernietigen,
  • Het uitvoeren of proberen uit te voeren van een denial of service-aanval,
  • Het verzenden of proberen te verzenden van ongevraagde of ongeautoriseerde e-mail, spam of andere vormen van ongevraagde berichten,
  • Websites, applicaties of services van derden testen die integreren met SharpSpring-services,
  • Het plaatsen, verzenden, uploaden, linken naar, verzenden of opslaan van malware, virussen of soortgelijke schadelijke software, of anderszins proberen de SharpSpring-services te onderbreken of te degraderen.
  • Elke activiteit die in strijd is met de toepasselijke wetgeving.

In-Scope beveiligingsproblemen melden

Als u denkt dat u een beveiligingsprobleem heeft ontdekt, deel de details dan met SharpSpring door onze Inzendingsformulier. We zullen met u samenwerken om beveiligingsproblemen die u aan ons meldt, te valideren en erop te reageren. Uw melding wordt doorgestuurd naar onze partner (BugCrowd) voor tijdige bevestiging en verificatie. U krijgt "punten" voor elk geldig geaccepteerd rapport dat wordt gemaakt. Je moet de eerste zijn die de bug meldt om alle mogelijke punten te verdienen.

Geverifieerde problemen worden doorgegeven aan onze ontwikkelingsteams voor herstel op een tijdlijn die in overeenstemming is met de ernst van het probleem (zoals gedefinieerd door de BugCrowd Vulnerability Rating Taxonomy). {https://bugcrowd.com/vulnerability-rating-taxonomy}

Stuur geen e-mails over kwetsbaarheden rechtstreeks naar SharpSpring-medewerkers. E-mailcommunicatie tussen u en SharpSpring, inclusief maar niet beperkt tot e-mails die u naar SharpSpring stuurt waarin u een mogelijk beveiligingsprobleem meldt, mag geen van uw eigendomsinformatie bevatten. De inhoud van alle e-mailcommunicatie die u naar SharpSpring stuurt, wordt als niet-eigendomsrechtelijk beschouwd. SharpSpring, of een van zijn gelieerde ondernemingen, mag dergelijke communicatie of materiaal voor welk doel dan ook gebruiken, inclusief maar niet beperkt tot reproductie, openbaarmaking, verzending, publicatie, uitzending en verdere plaatsing.

 

Buiten bereik 

Het volgende is een gedeeltelijke lijst van problemen die we u vragen niet te melden, tenzij u denkt dat er een daadwerkelijke kwetsbaarheid is:

  • CSRF op formulieren die beschikbaar zijn voor anonieme gebruikers
  • Openbaarmaking van bekende openbare bestanden of mappen (bijv. robots.txt)
  • Configuratiesuggesties voor Domain Name System Security Extensions (DNSSEC)
  • Openbaarmaking van banners over gemeenschappelijke/openbare diensten
  • Configuratiesuggesties voor HTTP/HTTPS/SSL/TLS-beveiligingsheaders
  • Gebrek aan Secure/HTTPOnly-vlaggen op niet-gevoelige cookies
  • Uitloggen Cross-Site Request Forgery (uitloggen CSRF)
  • Phishing- of social engineering-technieken
  • Aanwezigheid van applicatie of webbrowser 'autocomplete' of 'save password' functionaliteit
  • Sender Policy Framework (SPF) configuratie en Domain-based Message Authentication, Reporting & Conformance (DMARC) suggesties

Door deel te nemen aan dit Vulnerability Disclosure Program, erkent u dat u de SharpSpring's . hebt gelezen en hiermee akkoord gaat Service Voorwaarden en Privacy verklaringevenals De standaard openbaarmakingsvoorwaarden van BugCrowd. In het geval van een conflict tussen de servicevoorwaarden van SharpSpring en de standaard openbaarmakingsvoorwaarden van BugCrowd, hebben de servicevoorwaarden van SharpSpring de overhand.