Политика ответственного разглашения

FENDI считает собственные системы и, в частности, персональные данные чрезвычайно важными ресурсами компании, безопасность и конфиденциальность которых являются важными факторами, формирующими доверие клиентов.


Несмотря на усиленное внимание, уделяемое вопросам безопасности, может случиться, что некоторые уязвимости остаются незамеченными во время их выпуска или появляются новые.


Если вы обнаружили какую-либо уязвимость, связанную с доменами FENDI, и желаете поделиться с нами данной информацией, мы просим вас, в духе ответственного разглашения информации, отправить нам отчет о такой уязвимости в соответствии с настоящей Политикой ответственного разглашения.


В частности:


  • отчет не должен быть анонимным, он должен быть составлен используя исключительно информацию, указанную в данной ссылке, и должен содержать основную информацию, которая позволит нам определить и воспроизвести уязвимость, выявленную вами;
  • строго сохранять конфиденциальность выявленной уязвимости, обязуясь не разглашать ее и не передавать третьим лицам до тех пор, пока FENDI не сообщит о применении соответствующих контрмер, и, в любом случае, после предоставления информации, которую вы намерены раскрыть, для обоюдной защиты интересов во избежание неумышленного распространения конфиденциальной корпоративной информации, не связанной с уязвимостью;
  • если отчет отправлен юридическим лицом (государственным или частным), учреждением, консорциумом или другой ассоциативной формой, отправитель обязуется ограничить доступ к информации о выявленной уязвимости, доступной исключительно его сотрудникам и в степени, необходимой для выполнения собственных обязанностей, заботясь о принятии всех необходимых мер для обеспечения конфиденциальности и вышеупомянутых ограничений доступа и использования информации о выявленной уязвимости;
  • сотрудничать с Командой безопасности FENDI и другими участвующими рабочими группами;
  • воздерживаться от любых действий, которые могут привести к нарушению, потере и/или уничтожению данных, связанных с системами и услугами, затронутыми в отчете, и ухудшению качества или прерыванию обслуживания. В связи с вышеизложенным, категорически запрещается:
    • Получать доступ к данным, изменять их, скачивать их;
    •  Осуществлять действия, подобные атакам типа «Отказ в обслуживании», которые могут повредить функционирование имущества или ресурсов FENDI;
    • Загружать, связывать, выполнять или отправлять вредоносный код, используя системы FENDI;
    • Проводить тесты, результатом которых является отправка нежелательных сообщений, спама или других форм неразрешенных сообщений.

После получения отчета FENDI сделает всё необходимое для:


  •  отправления в течение 20 дней ответа с указаниями об актуальности отчета в соответствии с Политикой ответственного разглашения и о результатах предварительного анализа, проведенного FENDI;
  • сохранения конфиденциальности отчета, без ущерба для выполнения юридических обязательств и/или указаний органов власти.

FENDI учитывает период конфиденциальности информации до устранения уязвимости и последующего уведомления тому, кто прислал отчет.


Исключаются из настоящей Политики ответственного разглашения и будут отклонены без предоставления ответа отчеты, связанные со следующими случаями:


  • результаты автоматической оценки уязвимости/тестирования на проникновение/сбора информации;
  • результаты атак типа «Отказ в обслуживании» (DoS, DDoS), в отношении которых FENDI оставляет за собой право принятия необходимых мер;
  • результаты оценки, проведенной с помощью специализированных сайтов;
  • ошибки, связанные с интерфейсом пользователя или опытом использования, которые не являются ошибкой систем безопасности (например: опечатки, ошибки в формате страницы);
  • информация о доменах, которые не управляются напрямую FENDI или не входят в вышеупомянутый периметр, к которому применяется настоящая политика;
  • любые отчеты, не связанные с безопасностью и Политикой ответственного разглашения.

 


Fendi будет обрабатывать персональные контактные данные информатора (имя, адрес электронной почты и, возможно, номер телефона) с единственной целью управления последующей деятельностью, связанной с отчетом, и для принятия необходимых мер в связи с выявленной уязвимостью. Персональные данные информатора могут быть переданы компетентным органам власти и третьим компаниям, предоставляющим услуги по расследованию в связи с выявленной уязвимостью.


Fendi благодарит за отправление отчетов, но поясняет, что не признает никакие вознаграждения (денежные или любого другого вида) за отчеты и в отношении выявленной или возможной уязвимости.


Fendi оставляет за собой право не управлять отчетами, которые не отвечают требованиям, предусмотренным настоящей Политикой ответственного разглашения.


FENDI оставляет за собой право обновлять в любой момент описанную выше Политику ответственного разглашения.