מדיניות חשיפת פגיעויות

חברת UG UAE LLC מקבלת בברכה דיווחים מחוקרי אבטחה ומחברי הציבור המזהים פגיעויות במערכות המפורטות להלן. מדיניות זו מתארת כיצד לדווח על פגיעות, מה אנו מבקשים ממך, ומה תוכל לצפות מאיתנו.

1. היקף

מדיניות זו חלה על הנכסים הבאים:

בתוך ההיקף

• אתר האינטרנט הציבורי של UG UAE וכל תת-הדומיינים שבבעלות UG UAE ובהפעלתה, לרבות משטחי השיווק המתפרסמים מדומיין זה.
• אפליקציית המפעיל UG Cortex המוגשת ממארחים בשליטת UG UAE; שמות המארחים הספציפיים בסביבת הייצור נמסרים לחוקרים מורשים לפי בקשה דרך security@ug-uae.co.
• ממשקי API ציבוריים ורכיבי פלטפורמת התוכנה הזמינים לכלל הציבור על ידי UG UAE, מקום שבו התיעוד הרשמי שלהם מפנה למדיניות זו.
• לקוחות לנייד המופצים דרך Apple App Store ו-Google Play Store תחת חשבון המפרסם של UG UAE, מקום שהדבר רלוונטי.

מחוץ להיקף

• שירותי צד שלישי שאינם בבעלות UG UAE ואינם בהפעלתה (יש לדווח לאותו ספק ישירות).
• מתחמים פיזיים, עובדים ומתקני ספקים.
• הנדסה חברתית של עובדי UG UAE, קבלניה, לקוחותיה או בני משפחותיהם.
• ממצאים הנובעים מבדיקות מניעת שירות, מבדיקות עומס נפחיות, או מכל בדיקה הפוגעת בזמינות עבור משתמשים אחרים.
• ממצאים הנובעים מפריצה למכשיר של משתמש קצה או לאישורי הכניסה שלו, ולא מפגם במערכותינו.
• דיווחים המבוססים אך ורק על היעדר כותרות "שיטות עבודה מומלצות", חשיפת גרסת תוכנה בכרזה, היעדר מגבלות קצב ללא השפעה הניתנת להוכחה, self-XSS, clickjacking בעמודים נטולי פעולה רגישה, וממצאים מידעיים דומים בעלי חומרה נמוכה, אלא אם שורשרו לכדי השפעה משמעותית.

אם אינך בטוח אם נכס נמצא בהיקף, שאל תחילה בכתובת security@ug-uae.co.

2. כיצד לדווח

שלח את הדיווח שלך אל security@ug-uae.co. הצפן דיווחים רגישים באמצעות מפתח ה-PGP שלנו:

• מיקום המפתח: https://ug-uae.co/.well-known/security.txt ו-https://ug-uae.co/legal/security-pgp.asc
• טביעת אצבע: טביעת האצבע הנוכחית של המפתח מתפרסמת לצד המפתח במיקומים שלעיל; ודא אותה שם לפני ההצפנה.

נא לכלול:

• תיאור ברור של הפגיעות ושל הנכס המושפע;
• הוראות שחזור שלב אחר שלב וכל תנאי מקדים נדרש;
• חומרי הוכחת היתכנות (צילומי מסך, לכידות בקשה/תגובה, סקריפטים מינימליים) המספיקים לשחזור מבלי לחלץ נתונים אמיתיים;
• הערכה של ההשפעה האפשרית;
• התאריך והשעה של הבדיקה (כולל אזור הזמן) וכתובות ה-IP של המקור שבהן השתמשת;
• אם שיתפת, או בכוונתך לשתף, את הממצא עם מישהו אחר; וכן
• השם או הכינוי שתחתיו ברצונך לקבל קרדיט, אם בכלל.

אנו מאשרים קבלה בתוך שני ימי עסקים.

3. בדיקה מקובלת

אנו מבקשים ממך:

• לפעול בתום לב ולהימנע מהפרות פרטיות, מהשמדת נתונים ומהפרעה לשירות או מהשבתתו;
• להגביל את הבדיקה לחשבונות שבבעלותך או שיש לך רשות מפורשת לבדוק, ולהשתמש רק בנתוני בדיקה שאתה יוצר;
• להפסיק את הבדיקה ולדווח מיד עם היתקלות בכל נתון הנראה אישי, מוסדר או רגיש בדרך אחרת, ולא להוריד, לשמור, להעביר או לגשת מחדש לנתונים כאלה;
• להימנע מטכניקות העלולות לפגוע באמינות או בזמינות, לרבות מניעת שירות, כוח גס בקנה מידה רחב, הרצות של סורקי פגיעויות אוטומטיים ללא הגבלת קצב, והתקפות מיצוי משאבים;
• להימנע מהנדסה חברתית של כל אדם, לרבות פישינג, וישינג, סמישינג וגישות מבוססות תואנה פיזית;
• להימנע מבדיקה פיזית של מתחמי UG UAE ומתקני ספקים;
• לציית לכל החוקים החלים בתחום השיפוט שלך ובתחום השיפוט שבו מתארחת מערכת היעד; וכן
• להעניק לנו הזדמנות סבירה לחקור ולתקן לפני חשיפה פומבית (ראה סעיף 5).

4. נמל מבטחים

כאשר אתה חוקר ומדווח בתום לב ובמסגרת ההיקף וההתנהלות המתוארים במדיניות זו, UG UAE:

• לא תנקוט או תתמוך בהליך משפטי נגדך ביחס להתנהלות המתוארת;
• תתייחס לפעילותך כאל בדיקה מורשית לצורכי הוראות השימוש לרעה במחשבים והגישה הבלתי מורשית שבחוקי איחוד האמירויות הערביות ככל שהן נוגעות למערכות בשליטת UG UAE, ושל חוקים מקבילים של תחומי שיפוט אחרים שבהם UG UAE היא בעלת המערכת;
• תעבוד עמך בתום לב כדי להבין ולפתור את הבעיה במהירות; וכן
• תכיר בפומבי בתרומתך אם תרצה בכך (ראה סעיף 6).

התחייבות נמל מבטחים זו אינה מחייבת, ואינה יכולה לחייב, צדדים שלישיים. אם הבדיקה שלך משפיעה בשוגג על מערכת, חשבון או נתונים שאינם בבעלות UG UAE, ייתכן שיידרש אישור נפרד מאותו בעלים, ו-UG UAE אינה יכולה להעניקו בשמו. התחייבות זו כפופה לכל חריג מחייב הנדרש על פי חוקי איחוד האמירויות הערביות.

5. לוח זמנים לחשיפה

חלון החשיפה המתואמת המוגדר כברירת מחדל אצלנו הוא 90 ימים קלנדריים ממועד אישורנו על קבלת דיווח תקף. נפעל לתקן בתוך חלון זה ונספק עדכוני סטטוס במרווחים סבירים.

• אם נזדקק לזמן נוסף, נסביר מדוע ונבקש את הסכמתך להארכה.
• אם נפתור את הבעיה מוקדם יותר והתיקון יופעל בכל מערכות הייצור המושפעות, ייתכן שנקצר את החלון בהסכמה הדדית.
• אם הפגיעות מנוצלת באופן פעיל בשטח נגד UG UAE או משתמשיה, ייתכן שנפרסם התראות בלוח זמנים מזורז ללא קשר לחלון ברירת המחדל. נקבל גם הצעות לחשיפה מזורזת מחוקרים במקרים כאלה.
• חשיפה פומבית מחוץ ללוח הזמנים המוסכם עלולה לבטל את כיסוי נמל המבטחים ואת ההכרה.

לא נבקש להשתיק תוצרי מחקר לגיטימיים, ולא נתנה הכרה באי-חשיפה לצמיתות.

6. הכרות תודה

בהסכמתך, נכיר בדיווחים תקפים בלוח כבוד פומבי בכתובת https://ug-uae.co/legal/security-acknowledgments. תוכל לבחור להצטרף או לפרוש בעת הדיווח. בשלב זה איננו מפעילים תוכנית תגמולים בתשלום על איתור באגים; נעדכן מדיניות זו אם הדבר ישתנה.

7. מה מדיניות זו אינה

• מדיניות זו אינה חוזה ואינה יוצרת זכויות הניתנות לאכיפה כנגד UG UAE מעבר לאלה המנויות במפורש.
• מדיניות זו אינה מתירה בדיקה כנגד מערכות לקוחות, מערכות ממשלתיות, או כל מערכת שאינה בבעלות UG UAE ואינה בהפעלתה.
• מדיניות זו אינה גוברת על כל הסכם סודיות, הסכם קבלנות או התחייבות העסקה שעשויים להיות לך כלפי UG UAE.

8. יצירת קשר ועדכונים

שאלות לגבי מדיניות זו: security@ug-uae.co. אנו עשויים לתקן מדיניות זו מעת לעת. מספר הגרסה ותאריך העדכון האחרון בראש עמוד זה מזהים את הגרסה הנוכחית.

---

זהו מסמך משפטי מפורסם. הגרסה הנוכחית מחליפה את כל הגרסאות הקודמות. עודכן לאחרונה: 2026-06-09. לשאלות: legal@ug-uae.co.