IncoreSoft

Програма відповідального розкриття вразливостей

Дата набрання чинності: 19 березня 2026 р.

IncoreSoft Ukraine LLC цінує зусилля спільноти безпеки у підтримці захищеності наших продуктів і послуг. Ця Програма відповідального розкриття вразливостей («Програма») надає вказівки для дослідників безпеки щодо відповідального та скоординованого звітування про вразливості у наших продуктах і послугах.

Ми прагнемо співпрацювати з дослідниками, які повідомляють про проблеми безпеки добросовісно. Ми не вживатимемо правових дій проти осіб, які виявляють та повідомляють про вразливості відповідно до цієї Програми. IncoreSoft залишає за собою право змінювати або припиняти дію цієї Програми в будь-який час.

1. Право на участь

1.1 Учасники, що мають право

Для участі в цій Програмі ви повинні:

  • Бути не молодшим за 18 років (або мати батьківський дозвіл, якщо вважаєтеся неповнолітнім у вашій юрисдикції)
  • Брати участь самостійно або мати дозвіл від вашої організації
  • Не бути резидентом країни, що підпадає під міжнародні торговельні санкції
  • Не бути діючим або колишнім (протягом останніх 6 місяців) працівником IncoreSoft або близьким родичем такого працівника

1.2 Учасники, що не мають права

Наступні особи не мають права на участь:

  • Державні та освітні співробітники без попереднього схвалення з боку їхньої організації з питань етики або відповідності
  • Особи, які були найняті або уклали контракт з IncoreSoft протягом 6 місяців до подання заявки
  • Особи у зовнішніх підрядних ролях, що вимагають доступу до корпоративної мережі або внутрішніх систем IncoreSoft
  • Особи, задіяні в адмініструванні цієї Програми

2. Сфера застосування

2.1 Допустимі цілі

Наступні домени та продукти схвалені для тестування безпеки:

  • *.incoresoft.com
  • Програмні продукти відеоаналітики IncoreSoft на основі ШІ (десктопні клієнти, плагіни та інтеграції)

2.2 Вразливості поза сферою застосування

Наступне, як правило, вважається поза сферою застосування:

  • Відсутні заголовки безпеки, що не ведуть до прямої вразливості (наприклад, X-Frame-Options, Content-Security-Policy)
  • Відсутні конфігурації безпеки електронної пошти (DMARC, DKIM, SPF, DNSSEC), якщо вони не ведуть до демонстрованого вектора атаки
  • Атаки типу «відмова в обслуговуванні» (DoS/DDoS)
  • Соціальна інженерія або фішингові атаки проти співробітників або користувачів IncoreSoft
  • Фізичні атаки проти офісів або центрів обробки даних IncoreSoft
  • Вразливості у програмному забезпеченні або послугах третіх сторін, не розроблених IncoreSoft
  • Звіти від автоматизованих сканерів вразливостей без демонстрованого підтвердження концепції
  • Клікджекінг на сторінках без чутливих дій
  • Self-XSS (де користувач може атакувати лише себе)

3. Процес подачі звіту

Дослідники безпеки повинні повідомляти про вразливості електронною поштою на адресу: security@incoresoft.com

Використовуйте тему: «Finding for Vulnerability Disclosure Program»

Ваш звіт повинен містити:

  • Тип проблеми - класифікація вразливості (наприклад, XSS, SQL-ін'єкція, IDOR, RCE)
  • Уражений URL або продукт - конкретне місце або компонент, де існує вразливість
  • Кроки відтворення - чіткі, детальні кроки для відтворення проблеми
  • Підтвердження концепції - код, скріншоти або відео, що демонструють вразливість
  • Оцінка впливу - ваш аналіз потенційного впливу та серйозності
  • Ваша контактна інформація - для подальшого зв'язку та координації

Будь ласка, не включайте чутливі дані (такі як паролі, персональні дані інших осіб або виробничі дані) до вашого звіту.

4. Скоординоване розкриття вразливостей (CVD)

  • Ми просимо не менше 90 днів з дати отримання звіту для оцінки, тріажу та усунення вразливості до будь-якого публічного розкриття.
  • Ми будемо співпрацювати з дослідником протягом усього процесу розслідування та усунення.
  • Раннє розкриття може відбутися лише у разі виявлення активного використання вразливості до виходу оновлення.
  • Ми погодимо з дослідником терміни та зміст будь-якого публічного розкриття.
  • Ми вкажемо дослідника в будь-якому публічному розкритті або рекомендації, якщо він не відмовиться.

5. Ліцензія на подання

Подаючи звіт про вразливість, ви надаєте IncoreSoft невиключну, безстрокову, всесвітню, безоплатну ліцензію на використання, тестування, модифікацію та включення поданих матеріалів. Ви підтверджуєте та гарантуєте, що:

  • Подані матеріали є вашою оригінальною роботою
  • У вас є право надавати описану вище ліцензію
  • Подані матеріали не порушують права третіх сторін

6. Конфіденційність

Детальний код використання вразливостей, технічні специфікації та кроки відтворення повинні залишатися конфіденційними не менше 30 днів після виправлення вразливості та випуску патча або оновлення. Передчасне розкриття може призвести до дискваліфікації з Програми та можливих правових дій.

Ви не можете розкривати будь-яку вразливість третім сторонам без попередньої письмової згоди IncoreSoft протягом періоду усунення.

7. Кодекс поведінки

Беручи участь у цій Програмі, вам забороняється:

  • Займатися будь-якою незаконною діяльністю, включаючи несанкціонований доступ, знищення даних або атаки типу «відмова в обслуговуванні»
  • Отримувати доступ, змінювати, видаляти або викрадати дані, що належать іншим користувачам або клієнтам
  • Використовувати соціальну інженерію, фішинг або претекстинг проти співробітників, підрядників або користувачів IncoreSoft
  • Передавати шкідливе програмне забезпечення, програми-вимагачі або інше шкідливе ПЗ
  • Використовувати вразливість понад мінімально необхідного для демонстрації її існування
  • Проводити тестування у спосіб, що погіршує продуктивність або доступність наших послуг
  • Займатися будь-якою діяльністю, що порушує закони або правила про конфіденційність
  • Займатися спамом, переслідуванням або розповсюдженням оманливого контенту

Дослідники повинні дотримуватися всіх чинних законів та нормативних актів під час участі в цій Програмі.

8. Безпечна гавань

  • Авторизовано - IncoreSoft не ініціюватиме правових дій за випадкові, добросовісні порушення
  • Звільнено від претензій відповідно до CFAA (Закон про комп'ютерне шахрайство та зловживання) в тій мірі, в якій дослідження відповідає цій Програмі
  • Звільнено від претензій відповідно до DMCA щодо обходу засобів технічного захисту

Якщо третя сторона ініціює правові дії проти вас за діяльність, здійснену відповідно до цієї Програми, ми докладемо розумних зусиль, щоб повідомити, що ваші дії були здійснені відповідно до цієї Програми.

9. Відмови від відповідальності

INCORESOFT НЕ НАДАЄ ЖОДНИХ ГАРАНТІЙ, ЯВНИХ АБО НЕПРЯМИХ, ЩОДО УЧАСТІ В ЦІЙ ПРОГРАМІ. УЧАСТЬ Є ПОВНІСТЮ ДОБРОВІЛЬНОЮ ТА ЗДІЙСНЮЄТЬСЯ НА ВАШ ВЛАСНИЙ РИЗИК. INCORESOFT НЕ НЕСЕ ВІДПОВІДАЛЬНОСТІ ЗА БУДЬ-ЯКІ ЗБИТКИ, ЩО ВИНИКАЮТЬ ВНАСЛІДОК ВАШОЇ УЧАСТІ В ЦІЙ ПРОГРАМІ.

Ця Програма не встановлює трудових або підрядних відносин між вами та IncoreSoft.

10. Визнання заслуг

Дослідники, які повідомляють про дійсні вразливості відповідно до цієї Програми, можуть бути публічно відзначені на нашому веб-сайті або в рекомендаціях з безпеки, якщо вони явно не відмовляться від цього. Ми поважаємо ваше бажання зберегти анонімність.

11. Контактна інформація

Електронна пошта:security@incoresoft.com

IncoreSoft Ukraine LLC
провулок Миколи Амосова, 28А
21000 Вінниця, Україна

Запити щодо конфіденційності:privacy@incoresoft.com