شروط الخدمة
إضافة معالجة البيانات
سياسة الخصوصية
قائمة المعالجات الفرعية
اتفاقية مستوى الخدمة
سياسة الدعم
سياسة الاستخدام المقبول
إشعار ملفات تعريف الارتباط
إشعار CCPA
PDPL Notice
إشعار قانون حماية المعلومات الشخصية الصيني (PIPL)
تقييم أثر نقل البيانات
شروط الموقع الإلكتروني
سياسة أخلاقيات العمل
سياسة إغلاق الحساب
طلب الحصول على المعلومات الشخصية
اتفاقية الإفصاح عن الثغرات
بيان العمل
الشروط المُدارة ذاتيًا

سياسة الإفصاح عن الثغرات الأمنية

نحن نأخذ الأمن على محمل الجد ونُقدّر مساهمات الأفراد المهتمين بالأمن الذين يساعدون في الحفاظ على أمان مجتمعنا. إذا كنت تعتقد أنك اكتشفت مشكلة أمنية داخل منصتنا، فنحثك على الإبلاغ عنها فوراً. نلتزم بالتحقيق في كل إبلاغ وسنعمل عن قرب معك للتحقق من الثغرات المؤكدة ومعالجتها. نرجو منك الحفاظ على سرية هذه المعلومات حتى يتم حل المشكلة، لحماية مجتمعنا.

نطاق السياسة

تنطبق هذه السياسة على جميع المواقع والخدمات التي نديرها. إذا كنت غير متأكد من نطاق الثغرة التي وجدتها، فيرجى الالتزام بالإرشادات الواردة هنا.

إجراء أبحاث الثغرات

مرحب بك في إجراء اختبارات أمنية مسؤولة على خدماتنا التي لديك حق وصول مفوّض إليها. مع ذلك، يجب ألا تتضمن أبحاثك:

  1. انتهاك أي قوانين.
  2. تعديل أو حذف بيانات لا تخصك.
  3. الوصول أو محاولة الوصول إلى بيانات غير مصرّح لك بها.
  4. تنفيذ هجمات حجب الخدمة (DoS).
  5. إجراء اختبارات تحميل.

قد يتم النظر في استثناءات بعد التقرير الأولي، وفقًا لتقدير فريقنا الأمني.

إرشادات الإبلاغ

للإبلاغ عن مشكلة، يرجى إرسال نتائج اكتشافاتك إلى البريد الإلكتروني security@ideanote.io مع التفاصيل التالية:

  • الهدف: تحديد مكان وجود الثغرة (مثلاً، الموقع الرئيسي، خدمة السحابة، إلخ).
  • نوعها: تصنيف الثغرة (مثلاً، هجوم DoS، تجاوز المصادقة، إلخ).
  • الوصف: تقديم شرح شامل يشمل خطوات إعادة إنتاج المشكلة وأي افتراضات تمّ اتخاذها.
  • الرابط / الموقع: (اختياري) الرابط الدقيق حيث تم العثور على الثغرة.
  • معلومات الاتصال: (اختياري) قنوات بديلة للتواصل معك.

يرجى الملاحظة أننا لا ندعم تشفير GPG في الوقت الحالي. توقع استلام تأكيد خلال 48 ساعة، ومتابعة مفصلة خلال ثلاثة أيام عمل.

الإفصاحات الصالحة

يرجى الامتناع عن تقديم تقارير تتعلّق بـ:

  • الملفات أو الدلائل العامة المعروفة.
  • سياسات الحظر خلال هجمات DoS.
  • اقتراحات حول تكوينات DNS والبريد الإلكتروني.
  • الهجمات الاحتيالية أو الهندسة الاجتماعية.
  • تضمين iFrame، خيارات X-Frame، اختراق النقر (Click-Jacking).
  • علامات الأمان على الكوكيز غير الحساسة.

الجدول الزمني للإفصاح

عن الإفصاحات الصالحة سيقوم فريقنا الأمني بما يلي:

  1. تأكيد استلام إبلاغك.
  2. محاولة التحقق وتقييم تأثير المشكلة.
  3. تأكيد أو رفض المشكلة، مع تقديم الأسباب.
  4. مراجعة الشفرة ذات الصلة لبحث ثغرات مماثلة.
  5. تحضير الإصلاحات.
  6. نشر بيان أمني بمجرد تجهيز التخفيفات.

التعويض

رغم أننا لا نقدم مكافآت مالية للإبلاغ عن الثغرات في الوقت الراهن، فقد ننظر في تعويضك عن بعض تكاليف البحث بعد تأكيد تقريرك، وذلك بموافقة خطية مسبقة.

نتطلع إلى تعاونك ونشكرك على مساعدتنا في الحفاظ على بيئة آمنة للجميع.