Note: This company is not affiliated with BugBase. Information about this program is provided by the community from publically available sources.
Tempus Labs, Inc. ("Tempus") গ্রাহক এবং রোগীর ডেটাকে গুরুত্ব সহকারে সুরক্ষিত করার দায়িত্ব নেয় এবং আমরা নিরাপত্তা গবেষকদের এবং সাধারণ জনগণের কাছ থেকে আমাদের নিরাপত্তা ভঙ্গি উন্নত করতে সাহায্য করার জন্য প্রতিক্রিয়াকে স্বাগত জানাই। আপনি যদি বিশ্বাস করেন যে আপনি আমাদের যেকোন সম্পদে এবং এর আশেপাশে একটি দুর্বলতা, গোপনীয়তা সমস্যা, উন্মুক্ত ডেটা বা অন্যান্য সম্ভাব্য নিরাপত্তা সমস্যা খুঁজে পেয়েছেন, আমরা আপনার কাছ থেকে শুনতে চাই। এই নীতি বর্ণনা করে:
- কোন সিস্টেম এবং ধরনের গবেষণা কভার করা হয়;
- ব্যস্ততার নিয়ম;
- কীভাবে আমাদের দুর্বলতার প্রতিবেদন পাঠাতে হয়; এবং
- আমরা নিরাপত্তা গবেষকদের প্রকাশ্যে দুর্বলতা প্রকাশ করার আগে কতক্ষণ অপেক্ষা করতে বলি।
আমরা যে কোনো সময় এই নীতি আপডেট করার অধিকার সংরক্ষণ করি, তাই অনুগ্রহ করে পর্যায়ক্রমে নীতি পর্যালোচনা করুন।
এই নীতি অনুসারে, আপনি আমাদের থেকে আশা করতে পারেন:
-
অবিলম্বে আপনার প্রতিবেদনের প্রতিক্রিয়া জানান, এবং আপনার রিপোর্ট বুঝতে এবং যাচাই করার জন্য আপনার সাথে কাজ করুন;
-
প্রক্রিয়া হওয়ার সাথে সাথে একটি দুর্বলতার অগ্রগতি সম্পর্কে আপনাকে অবহিত রাখার চেষ্টা করুন;
-
আমাদের অপারেশনাল সীমাবদ্ধতার মধ্যে একটি সময়মত পদ্ধতিতে আবিষ্কৃত দুর্বলতাগুলি প্রতিকার করার জন্য কাজ করুন; এবং
-
আপনার প্রতিবেদন এবং এই নীতির সাথে সম্পর্কিত আপনার দুর্বলতা গবেষণার জন্য নিরাপদ আশ্রয় প্রসারিত করুন (আরো তথ্যের জন্য অনুমোদন বিভাগ দেখুন)
আমাদের দুর্বলতা প্রকাশের প্রোগ্রামে অংশগ্রহণ করার জন্য, আপনাকে এটি করতে হবে: -
এই নীতি এবং অন্য কোন প্রাসঙ্গিক চুক্তি অনুসরণ সহ নিয়ম অনুসারে খেলুন;
-
আপনি আবিষ্কৃত কোনো দুর্বলতা অবিলম্বে রিপোর্ট করুন;
-
অন্যদের গোপনীয়তা লঙ্ঘন করা, আমাদের সিস্টেমগুলিকে ব্যাহত করা, ডেটা ধ্বংস করা এবং/অথবা ব্যবহারকারীর অভিজ্ঞতার ক্ষতি করা এড়িয়ে চলুন;
-
শুধুমাত্র ইন-স্কোপ সিস্টেমে পরীক্ষা করুন, এবং সুযোগের বাইরে থাকা সিস্টেম এবং ক্রিয়াকলাপগুলিকে সম্মান করুন (নীচের আউট-অফ-স্কোপ বিভাগটি দেখুন);
-
নীচের ডিসক্লোজার বিভাগে বর্ণিত ব্যতীত আবিষ্কৃত দুর্বলতা সম্পর্কে যে কোনও তথ্যের গোপনীয় বিবরণ রাখুন।
-
এমনভাবে চিহ্নিত দুর্বলতাগুলিকে কাজে লাগাবেন না যা গোপনীয়তা, অখণ্ডতা এবং/অথবা পরীক্ষার প্রক্রিয়া চলাকালীন স্পষ্টভাবে আপনার মালিকানাধীন নয় এমন কোনও সংস্থানের প্রাপ্যতাকে ঝুঁকিপূর্ণ করে৷
-
ফিশ, স্প্যাম, সোশ্যাল ইঞ্জিনিয়ার বা অন্যথায় আরও অ্যাক্সেস পাওয়ার জন্য পরীক্ষা করার সময় কোনও গ্রাহক বা টেম্পাস কর্মীদের প্রতারণার জন্য আপনার ফলাফলগুলি ব্যবহার করবেন না।
-
টেম্পাস বৈশিষ্ট্যগুলিকে শারীরিকভাবে অ্যাক্সেস করার চেষ্টা করবেন না, সামাজিক প্রকৌশলী কর্মীদের চেষ্টা করবেন না, বা অন্যথায় টেম্পাসের বিরুদ্ধে ডিজিটাল উপায়ের বাইরে ঝুঁকি আবিষ্কার করার চেষ্টা করবেন না।
-
সন্দেহভাজন নিরাপত্তা সমস্যার জন্য প্রভাব প্রমাণ করার জন্য যেকোনো টেম্পাস রিসোর্সের বিরুদ্ধে পরিষেবা অস্বীকার (DoS) বা বিতরণ অস্বীকার (DDoS) আক্রমণ করবেন না।
-
যদি একটি দুর্বলতা ডেটাতে অনিচ্ছাকৃত অ্যাক্সেস সরবরাহ করে, তাহলে ধারণার প্রমাণ কার্যকরভাবে প্রদর্শনের জন্য আপনার প্রয়োজনীয় ন্যূনতম ডেটা অ্যাক্সেসের পরিমাণ সীমিত করুন এবং পরীক্ষা বন্ধ করুন এবং পরীক্ষার সময় যদি আপনি কোনও ব্যবহারকারীর ডেটার সম্মুখীন হন তবে অবিলম্বে একটি প্রতিবেদন জমা দিন (যেমন ব্যক্তিগতভাবে সনাক্তকরণযোগ্য তথ্য ( PII), ব্যক্তিগত স্বাস্থ্যসেবা তথ্য (PHI), ক্রেডিট কার্ড ডেটা, বা মালিকানাধীন তথ্য)।
এই সময়ে, নিম্নলিখিত পরিষেবা এবং অ্যাপ্লিকেশনগুলি সুযোগ-সুবিধার মধ্যে রয়েছে: -
tempus.com ওয়েবসাইট এবং অবকাঠামো।
-
টেম্পাসের মালিকানাধীন এবং পরিচালিত যেকোনো পাবলিক (ইন্টারনেট-মুখী) অবকাঠামো।
-
যেকোন পাবলিক ক্লাউড (যেমন Amazon AWS, Google GCP) সংস্থান বা অবকাঠামো টেম্পাস দ্বারা পরিচালিত এবং পরিচালিত
- পাবলিক ক্লাউড স্টোরেজ অ্যাকাউন্ট। (যেমন AWS S3 বালতি, GCP ক্লাউড স্টোরেজ বালতি)
- পাবলিক ক্লাউড কম্পিউট সার্ভার। (যেমন AWS EC2 উদাহরণ, GCP Compute Engine, GCP Kubernetes)
-
আমাদের সম্পূর্ণ নিরাপত্তা ভঙ্গি বা অবকাঠামো জুড়ে উল্লেখযোগ্য প্রভাব সহ যেকোনো কিছু।
কীভাবে একটি ইন-স্কোপ দুর্বলতার প্রতিবেদন করতে হয় (একটি দুর্বলতার প্রতিবেদন করা) এর জন্য উপরে দেখুন।
উপরে "ক্ষেত্রে" হিসাবে স্পষ্টভাবে তালিকাভুক্ত নয় এমন কোনও পরিষেবা বা অ্যাপ্লিকেশন এই নীতি থেকে বাদ দেওয়া হয়েছে পরীক্ষার জন্য অনুমোদিত নয়৷ এছাড়াও, নিম্নলিখিত ক্রিয়াকলাপগুলিও এই নীতি থেকে বাদ দেওয়া হয়েছে এবং পরীক্ষার জন্য অনুমোদিত নয়:
- পরিকল্পিত আক্রমণগুলি পরিষেবা বা ব্যবহারকারীর অভিজ্ঞতাকে অবনমিত, অস্বীকার বা বিরূপ প্রভাব ফেলতে পারে (যেমন, পরিষেবা অস্বীকার করা, পরিষেবার বিতরণ করা অস্বীকার, ব্রুট ফোর্স, পাসওয়ার্ড স্প্রে করা, স্প্যাম...)।
- আপনার অন্তর্গত নয় এমন ডেটা বা তথ্য ধ্বংস, দূষিত, অপঠনযোগ্য (বা এতে প্রচেষ্টা) করার জন্য ডিজাইন করা বা সম্ভাব্য আক্রমণ।
- চুরি হওয়া শংসাপত্র, শংসাপত্র পুনঃব্যবহার, অ্যাকাউন্ট টেকওভার (ATO), হাইজ্যাকিং, বা অন্যান্য শংসাপত্র-ভিত্তিক কৌশলগুলিকে যাচাই করার জন্য ডিজাইন করা বা সম্ভাব্য আক্রমণ৷
- ইচ্ছাকৃতভাবে এমন ডেটা বা তথ্য অ্যাক্সেস করা যা দুর্বলতা প্রদর্শনের জন্য প্রয়োজনীয় ন্যূনতম কার্যকর অ্যাক্সেসের বাইরে আপনার নয়।
- টেম্পাস কর্মীদের, অফিস, ওয়্যারলেস নেটওয়ার্ক বা সম্পত্তির বিরুদ্ধে শারীরিক, সামাজিক প্রকৌশল বা ইলেকট্রনিক আক্রমণ করা।
- তৃতীয় পক্ষের অ্যাপ্লিকেশন, পরিষেবা, বা নির্ভরতাগুলির নিরাপত্তা সমস্যা যা Tempus পণ্য বা অবকাঠামোর সাথে একীভূত হয় যেগুলির দুর্বলতার জন্য ধারণার প্রমাণযোগ্য প্রমাণ নেই (যেমন, লাইব্রেরি, SaaS পরিষেবাগুলি)৷
- নিরাপত্তা সমস্যা বা প্রতিবেদক দ্বারা তৈরি বা প্রবর্তিত দুর্বলতা (যেমন, একটি লাইব্রেরি পরিবর্তন করা যা আমরা একটি পুরস্কার পাওয়ার একমাত্র উদ্দেশ্যের জন্য একটি দুর্বলতা অন্তর্ভুক্ত করার জন্য নির্ভর করি)।
- অনুমোদিত এবং ইন-স্কোপ হিসাবে স্পষ্টভাবে উল্লেখ করা হয়নি এমন কোনও সিস্টেমে সম্পাদিত আক্রমণ।
- স্বয়ংক্রিয় দুর্বলতা মূল্যায়ন সরঞ্জাম থেকে উত্পন্ন প্রতিবেদন।
- অনুপস্থিত "সর্বোত্তম অনুশীলন" বা অন্যান্য নির্দেশিকাগুলির প্রতিবেদন যা নিরাপত্তা সমস্যা নির্দেশ করে না।
- ইমেল সার্ভার, ইমেল প্রোটোকল, ইমেল নিরাপত্তা (যেমন, SPF, DMARC, DKIM), বা ইমেল স্প্যাম সম্পর্কিত আক্রমণ।
- অ-সংবেদনশীল কুকিগুলিতে কুকি পতাকা অনুপস্থিত৷
- অনিরাপদ SSL/TLS সাইফারের প্রতিবেদন (ধারণার কার্যকারী প্রমাণের সাথে না থাকলে)।
- সাধারণ আইপি বা পোর্ট স্ক্যানিংয়ের প্রতিবেদন।
- অনুপস্থিত HTTP হেডার (যেমন HSTS এর অভাব)।
- ইমেল নিরাপত্তা সর্বোত্তম অনুশীলন বা নিয়ন্ত্রণ (যেমন SPF, DKIM, DMARC)।
- সফ্টওয়্যার বা অবকাঠামো ব্যানারিং, ফিঙ্গারপ্রিন্টিং, বা কোনো প্রমাণিত দুর্বলতা ছাড়াই রিকনেসান্স।
- ক্লিকজ্যাকিং বা স্ব-এক্সএসএস রিপোর্ট।
- অভ্যন্তরীণ হোস্ট বা অবকাঠামোর জন্য সর্বজনীনভাবে সমাধানযোগ্য বা অ্যাক্সেসযোগ্য DNS রেকর্ডের প্রতিবেদন।
- স্যান্ডবক্স করা পরিবেশে ব্যবহারকারী-প্রদত্ত রিমোট কোড এক্সিকিউশনের রিপোর্ট (যেমন, পণ্যের বৈশিষ্ট্য)।
- ডোমেন-ভিত্তিক ফিশিং, টাইপোস্ক্যাটিং, পানিকোড, বিটফ্লিপ বা অন্যান্য কৌশল।
- কোন আইন লঙ্ঘন বা কোন চুক্তি লঙ্ঘন (বা একই রিপোর্ট)।
- সর্বজনীনভাবে প্রকাশ করা দুর্বলতা যা ইতিমধ্যেই টেম্পাসকে রিপোর্ট করা হয়েছে বা ইতিমধ্যেই ব্যাপক নিরাপত্তা সম্প্রদায়ের কাছে পরিচিত৷
- টেম্পাস ইনফরমেশন সিকিউরিটি টিম ইতিমধ্যেই পরিচিত এবং ট্র্যাক করা নিরাপত্তা সংক্রান্ত সমস্যার রিপোর্ট।
যদিও আমরা অন্যান্য ইন্টারনেট-অ্যাক্সেসযোগ্য সিস্টেম বা পরিষেবাগুলি বিকাশ ও রক্ষণাবেক্ষণ করি, আমরা চাই যে সক্রিয় গবেষণা এবং পরীক্ষা শুধুমাত্র এই নথির সুযোগের আওতায় থাকা সিস্টেম এবং পরিষেবাগুলিতে পরিচালিত হবে৷ যদি এমন কোনো সিস্টেম থাকে যা আপনার মনে হয় মেধা পরীক্ষার সুযোগ নেই, তাহলে প্রথমে এটি নিয়ে আলোচনা করতে আমাদের সাথে যোগাযোগ করুন। উপরন্তু, আমাদের পরিষেবা প্রদানকারীদের সিস্টেমে পাওয়া দুর্বলতাগুলি এই নীতির সুযোগের বাইরে পড়ে এবং তাদের প্রকাশ নীতি (যদি থাকে) অনুযায়ী পরিষেবা প্রদানকারীকে সরাসরি রিপোর্ট করা উচিত।
Tempus সময়মত দুর্বলতা সংশোধন করতে প্রতিশ্রুতিবদ্ধ। যাইহোক, আমরা স্বীকার করি যে সহজে উপলব্ধ সংশোধনমূলক পদক্ষেপের অনুপস্থিতিতে একটি দুর্বলতার প্রকাশ্য প্রকাশ ঝুঁকি বাড়াতে পারে। তদনুসারে, আমরা চাই যে আপনি আমাদের রিপোর্ট প্রাপ্তির স্বীকৃতি পাওয়ার পরে 90 ক্যালেন্ডার দিনের জন্য আবিষ্কৃত দুর্বলতা সম্পর্কে তথ্য শেয়ার করা থেকে বিরত থাকুন। আপনি যদি বিশ্বাস করেন যে আমাদের সংশোধনমূলক পদক্ষেপগুলি বাস্তবায়নের আগে অন্যদের দুর্বলতা সম্পর্কে অবহিত করা উচিত, আমরা আপনাকে আমাদের সাথে আগে থেকে সমন্বয় করতে চাই।
আপনি যদি আপনার নিরাপত্তা গবেষণার সময় এই নীতি মেনে চলেন এবং আমাদের সিস্টেমের নিরাপত্তা, বা আমাদের ব্যবহারকারীদের নিরাপত্তা বা গোপনীয়তার সাথে আপস না করেন, তাহলে আমরা সমস্যাটি দ্রুত বুঝতে এবং সমাধান করার জন্য আপনার সাথে কাজ করব এবং আইনি পদক্ষেপ শুরু বা সুপারিশ করব না আপনার গবেষণার সাথে সম্পর্কিত। বুঝুন যে আমরা আপনার কার্যকলাপ সম্পর্কিত তৃতীয় পক্ষের দাবি নিয়ন্ত্রণ করতে পারি না।
যদি কোনো সময়ে আপনার উদ্বেগ থাকে বা আপনার নিরাপত্তা গবেষণা এই নীতির সাথে সামঞ্জস্যপূর্ণ কিনা তা অনিশ্চিত, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন [email protected] আরো এগিয়ে যাওয়ার আগে।
