🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Quy định tiết lộ lỗ hổng bảo mật (VDP)

18/10/2021

Quy định/Quy tắc này áp dụng với Chương trình Bug Bounty cho nền tảng chuyển đổi số quốc gia do Bộ Thông tin và Truyền thông phát động nhằm đảm bảo an toàn, an ninh mạng/an toàn thông tin/tìm ra những lỗ hổng bảo mật sớm nhất trên các nền tảng Chuyển đổi số quốc gia và các ứng dụng chuyển đổi số phổ biến

Quy tắc do Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) phối hợp với các đơn vị liên quan xây dựng và thống nhất ban hành.

Vui lòng không gửi báo cáo với tư cách người dùng ẩn danh (anonymous). Các báo cáo này sẽ chỉ nhận được vinh danh.

1. Phạm vi

Chương trình Bug Bounty cho nền tảng chuyển đổi số quốc gia áp dụng cho các nền tảng sau đây:

1. Nền tảng tích hợp, chia sẻ dữ liệu (NGSP).

2. CSDL quốc gia về đăng ký doanh nghiệp.

3. CSDL quốc gia về bảo hiểm, CSDL quốc gia về đất đai quốc gia.

4. Cổng dịch vụ công quốc gia.

5. Nền tảng tiêm chủng covid 19.

2. Quy định đối với người tham gia

2.1. Hành động cho phép

- Tuân thủ luật pháp và quy định hiện hành.

- Xác định mục đích duy nhất là tìm kiếm và thông báo lỗ hổng bảo mật đáng ngờ đối với các nền tảng trong Mục 1 nhưng không làm ảnh hưởng đến hoạt động của nền tảng.

- Tránh gây thiệt hại, tổn thất cho cá nhân, tổ chức hoặc nền tảng trong chương trình.

- Thông báo lỗ hổng qua BugRank sớm nhất khi phát hiện ra một lỗ hổng đáng ngờ.

- Nếu có thể, cung cấp thông tin về bạn (tên, số điện thoại, thư điện tử) trong báo cáo để chúng tôi có thể liên hệ với bạn (bao gồm tên và email của những người mà bạn có thể đã tiết lộ lỗ hổng bị nghi ngờ với họ).

- Cung cấp đầy đủ thông tin về lỗ hổng bị nghi ngờ trong báo cáo để đánh giá, kiểm tra, xác thực lỗ hổng bảo mật bạn đã gửi. Các thông tin về lỗ hổng bạn có thể gửi bao gồm (không giới hạn) thông tin sau:

+ Mô tả về lỗ hổng.

+ Địa chỉ IP và/hoặc URL của dịch vụ bị nghi ngờ có lỗ hổng.

+ Cấu hình và phiên bản của phần mềm bị nghi ngờ có lỗ hổng.

+ Mô tả các trường hợp, các dòng sự kiện dẫn đến lỗ hổng.

+ Mô tả lý do tồn tại lỗ hổng.

+ Mức độ của tác động của lỗ hổng.

+ Trong 1 số trường hợp chúng tôi có thể yêu cầu cung cấp thêm các thông tin để xác minh lỗ hổng.

2.2. Hành động không được phép

- Nghiêm cấm hành động tùy ý, trái với luật pháp và quy định hiện hành.

- Nghiêm cấm tiết lộ công khai bất kỳ lỗ hổng nào hoặc các thông tin liên quan đến lỗ hổng (như cách thức tìm kiếm, …..) cho bên thứ ba nào trước khi lỗ hổng được Bộ Thông tin và Truyền thông thông báo đã xử lý.

- Nghiêm cấm triển khai các phương tiện phá hoại, gây rối hoặc bất hợp pháp khác để phát hiện các lỗ hổng (Ví dụ: tấn công vật lý, Social Engineering, tấn công từ chối dịch vụ, tấn công dò đoán mật khẩu).

- Nghiêm cấm việc khai thác hoặc sử dụng bất kỳ lỗ hổng bị nghi ngờ nào (ví dụ: truy cập trái phép, sao chép, tạo, xóa, sửa đổi, thao tác hoặc tải xuống bất kỳ dữ liệu hoặc chương trình nào, cài đặt backdoor, sửa đổi cấu hình hệ thống, tạo điều kiện hoặc chia sẻ quyền truy cập hệ thống).

3. Kiểm tra, đánh giá và xác nhận lỗ hổng

- Việc tiếp nhận, kiểm tra và đánh giá các báo cáo lỗ hổng bảo mật gửi về thông qua BugRank và thông báo cho các bên liên quan về lỗ hổng thực hiện trong vòng 07 ngày làm việc kể từ khi nhận được báo cáo lỗ hổng.

- Trong quá trình tiếp nhận, kiểm tra và đánh giá lỗ hổng chúng tôi có thể kết nối bạn và các bên liên quan có thể bị ảnh hưởng bởi lỗ hổng nghi ngờ.

4. Xử lý, khắc phục lỗ hổng

Chúng tôi sẽ làm việc với bạn và các bên liên quan để giải quyết mọi lỗ hổng bảo mật đã được xác nhận trong vòng 90 ngày làm việc kể từ khi báo cáo lỗ hổng được xác nhận.

5. Vinh danh và trao thưởng

Chúng tôi sẽ tổ chức vinh danh bảng xếp hạng top 50 chuyên gia có nhiều đóng góp cho việc tìm kiếm, phát hiện lỗ hổng bảo mật vào Ngày an toàn thông tin Việt Nam diễn ra vào tháng 11 hằng năm. Đặc biệt, 03 chuyên gia xuất sắc nhất, có nhiều phát hiện và đóng góp lớn sẽ được nhận sẽ được giải thưởng  và bằng khen của Bộ trưởng Bộ Thông tin và Truyền thông.

6. Quy định/Quy tắc khác

Chúng tôi không thỏa thuận hoặc cung cấp cho bạn bất kỳ hình thức miễn trừ, bồi thường hoặc bảo vệ khỏi trách nhiệm dân sự hoặc hình sự (nếu có) theo luật pháp và quy định hiện hành khi bạn có các hành vi cố gắng tấn công vào hệ thống.

Chúng tôi không chịu trách nhiệm về mọi chi phí, thiệt hại dưới bất kỳ hình thức nào mà bạn có thể phải chịu do hành vi khai thác liên quan đến bất kỳ lỗ hổng nghi ngờ nào mà bạn có thể báo cáo.

7. Các lỗ hổng được chấp nhận

Bất kì lỗ hổng nào có thể gây ra ảnh hường đáng kể về tính bí mật và tính toàn vẹn của dữ liệu người dùng đều được chúng tôi chấp nhận. Một số ví dụ:

+ Cross Site Scripting (XSS)

+ Cross-Site Request Forgery (CSRF)

+ SQL Injection (SQLi)

+ Authentication related issues

+ Authorization related issues

+ Data Exposure

+ Remote Code Execution

+ Business Logic

+ Mobile-specific API vulnerabilities

8. Các lỗ hổng không được chấp nhận

Phụ thuộc vào mức độ ảnh hưởng, một số lỗ hổng có thể sẽ không được chấp nhận. Một số ví dụ:

+ URL redirection

+ Bugs requiring exceedingly unlikely user interaction

+ Logout cross-site request forgery

+ Flaws affecting the users of out-of-date browsers and plugins.

+ Presence of banner or version information

+ Email spoofing

+ DDoS

9. Quá trình cập nhật, sửa đổi

 

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC).

scrolltop