سياسة الإفصاح المسؤول عن الثغرات

1. مقدمة

إذا اكتشفت ثغرة أمنية في خدماتنا أو مواقعنا، نشجعك على إبلاغنا فورًا. هذه الصفحة توضح ما يُسمح وما لا يُسمح أثناء اختبار الأمان.

2. ما نسمح به (Allowed)

• اكتشاف الثغرات بطريقة لا تضر النظام.
• الاختبار على صفحات عامة فقط.
• اختبار نقاط الضعف الشائعة (XSS, CSRF, Broken Auth).
• إرسال المعلومات عبر القنوات الرسمية الموضحة أدناه.

3. ما لا نسمح به (Not Allowed)

• شن هجمات DDoS أو إغراق السيرفر.
• محاولات الوصول إلى بيانات العملاء.
• اختبار الأنظمة الداخلية أو لوحات التحكم الخاصة.
• التسبب في توقف الخدمة أو تعطيل النظام.

4. كيفية إرسال البلاغ الأمني

• وصف مختصر للثغرة.
• طريقة إعادة إنتاجها (Steps to Reproduce).
• الأثر المحتمل.
• لقطات شاشة إن وُجد.

5. قناة التبليغ الرسمية

البريد الأمني: security@reit.sa

PGP Key: سيتم إضافته قريبًا.

6. تعهدنا تجاه المبلّغ

• عدم اتخاذ أي إجراء قانوني ضد الباحث الأمني حسن النية.
• الرد خلال 3–7 أيام عمل.
• تقدير الجهد وشكر الباحث.
• إمكانية إضافة اسم الباحث في صفحة “Hall of Fame”.

7. تعهد الباحث الأمني

• عدم إساءة استخدام الثغرة.
• عدم مشاركة المعلومات مع أي جهة خارجية.
• التبليغ فورًا بعد الاكتشاف.

8. نموذج إرسال بلاغ