سياسة الإفصاح المسؤول عن الثغرات (VDP)

نثمّن أبحاث أمن المعلومات ونستقبل التقارير بحسن نية. اختبارات الاختراق الخارجية حاليًا غير مقبولة.

نطاق السياسة

• skyalo.com, *.skyalo.com

• تطبيقات Skyalo على الأجهزة المحمولة (الإصدارات العامة الحالية)

خارج النطاق: خدمات الجهات الخارجية، هجمات DoS/الإغراق، هجمات التخمين (Bruteforce)، الهندسة الاجتماعية، الهجمات المادية، الرسائل المزعجة/تقارير DMARC، كشف الإصدارات دون تأثير، clickjacking دون تأثير مُثبت، غياب الترويسات الأمنية دون وجود استغلال.

القواعد

• التزم بحسن النية وتجنّب انتهاك الخصوصية أو التأثير السلبي على الخدمة.

• استخدم فقط حساباتك/بياناتك الخاصة.

• لا تصل إلى بيانات لا تخصّك ولا تعدّلها. في حال الوصول غير المقصود—توقّف فورًا وأبلغنا.

• لا تستخدم فحصًا آليًا يؤثر في التوافر/الاستقرار.

كيفية إرسال تقرير

راسلنا على [email protected], وأرفق:

• المضيف/نقطة النهاية المتأثرة والبيئة

• خطوات إعادة الإنتاج بشكل واضح

• PoC minimal (طلب/استجابة HTTP، لقطات شاشة)

• تقييم الأثر ودرجة الخطورة (يفضّل CVSS v3.1)

• نافذة الاختبار وعناوين IP المصدر

لا ترسل أسرارًا عبر البريد الإلكتروني (بيانات اعتماد، رموز وصول، تفريغات قواعد بيانات) — قم بإخفاء المعلومات الحسّاسة.

Safe Harbor

عند الالتزام بهذه السياسة، لن نتخذ إجراءات قانونية ونعتبر أن نشاطك مُصرّح به لغرض الإبلاغ.

المكافآت والتقدير

المكافآت المالية حاليًا غير متاحة. للتقارير المؤكَّدة وغير المكررة — شكر علني (Hall of Fame) وبناءً على الطلب، خطاب شكر. قد تُغلق التقارير المكررة دون تقدير إضافي؛ ويُنسب الفضل لأول تقرير صالح.

المهل الزمنية واتفاقية مستوى الخدمة (SLA)

• تأكيد الاستلام: خلال 3 أيام عمل

• تحديث الحالة بعد الفرز (triage): حسب نتيجة المراجعة

• الإفصاح المنسّق: نرجو عدم نشر التفاصيل قبل صدور الإصلاح (حتى 90 يومًا)

أهداف الإصلاح: Critical — 7 أيام؛ High — 30 يومًا؛ Medium — 90 يومًا؛ Low — حسب الخطة. في حال وجود أي تعارض، تكون الأولوية للنسخة الإنجليزية.