भेद्यता का खुलासा नीति

1. परिचय

Trading Point Group (जिसे आगे “Trading Point” कहा गया है) इसे स्वीकार करता है कि ग्राहक डेटा को रक्षित करने और अधिक सुरक्षित समाधान और अनुप्रयोग विकसित करने के लिए साइबर-सुरक्षा समुदाय की सहायता लेनी होगी और उसके साथ मिलकर काम करना होगा। इस नीति का उद्देश्य सुरक्षा अनुसंधानकर्ताओं को भेद्यताओं की खोज करने के लिए तथा उनके द्वारा ढूँढ़ी गई भेद्यताओं की जानकारी हमें भेजने के तरीकों के बारे में स्पष्ट दिशा-निर्देश उपलब्ध कराना है।

अनुसंधानकर्ता स्वेच्छा से उनके द्वारा Trading Point की प्रणालियों में ढूँढ़ी गई भेद्यताओं की रिपोर्ट भेज सकते हैं। यह नीति इसका वर्णन करती है कि इस नीति के तहत किस तरह की प्रणालियाँ आती हैं और किस तरह के अनुसंधान किए जा सकते हैं तथा हमें भेद्यता रिपोर्टें कैसे भेजनी हैं।

भेद्यता रिपोर्ट जमा करना इस पृष्ठ में दी गई शर्तों और नियमों के अधीन है, और Trading Point को एक भेद्यता रिपोर्ट जमा करके अनुसंधानकर्ता इसे स्वीकार करते हैं कि उन्होंने इन शर्तों और नियमों को पढ़ लिया है और वे इनसे सहमत हैं।

2. शर्तें और नियम

2.1. सेफ हार्बर (अभय दान) / प्राधिकरण

इस नीति का अनुपालन करते हुए सद्भावना के साथ भेद्यता अनुसंधान करते समय हम आपके अनुसंधान को निम्नलिखित स्वरूप का मानते हैं:

हैकिंग करने को रोकने से संबंधित किसी प्रासंगिक कानूनों के संबंध में अधिकृत है और हम आपके अनुसंधान के लिए आपके विरुद्ध कानूनी कार्रवाई की सिफारिश नहीं करेंगे, न ही उसे आगे बढ़ाएँगे।
नाकाम करने को रोकने से संबंधित किसी प्रासंगिक कानूनों के संबंध में अधिकृत है और हम प्रौद्योगिकी नियंत्रणों को नाकाम करने के लिए आपके विरुद्ध दावे नहीं करेंगे।
कानून-सम्मत, इंटरनेट की समग्र सुरक्षा के लिए उपयोगी, और सद्भावना से किया गया।

आपसे अपेक्षा है कि आप लागू होने वाले सभी कानूनों का पालन करेंगे। यदि सद्भावना के साथ इस नीति के अनुसार आपके द्वारा की गई गतिविधियों के लिए कोई तृतीय पक्ष आपके विरुद्ध कानूनी कार्रावाई प्रारंभ कर दे, तो हम इस प्राधिकरण को ज्ञापित कर देंगे।

यदि आपको किसी भी समय कोई चिंता हो या कोई दुविधा महसूस हो, कि क्या मेरा सुरक्षा अनुसंधान इस नीति के साथ सुसंगत है या नहीं, तो आपके कार्य को आगे बढ़ाने से पहले कृपया हमारे आधिकारिक चैनलों (जिनका विवरण निचे यहाँ दिया गया है) का उपयोग करके एक रिपोर्ट जमा करें।

ध्यान में रखें कि अभय दान केवल उन कानूनी दावों पर लागू होता है जो इस नीति में भाग लेने वाले संगठनों के नियंत्रण में हैं, और यह नीति स्वतंत्र तृतीय पक्षों पर कोई भी बाध्यता नहीं डालती है।

2.2. दिशा-निर्देश

इस नीति में, "अनुसंधान" का मतलब ऐसी गतिविधियाँ हैं, जिनमें आप:

आपको किसी वास्तविक या संभाव्य सुरक्षा मुद्दे का पता चलने के बाद हमें यथाशीघ्र सूचित करें।
गोपनीयता का उल्लंघन करने, उपयोगकर्ता अनुभव को अवक्रमित करने, उत्पादन प्रणालियों में खलल डालने, और डेटा को नष्ट करने या उसमें हेर-फेर करने से बचने का हर संभव प्रयास करें।
भेद्यताओं से लाभ उसी सीमा तक लें जो उस भेद्यता की उपस्थिति को सिद्ध करने के लिए आवश्यक हो। भेद्यताओं का लाभ डेटा के साथ समझौता करने या उसमें अनधिकृत रूप से डेटा निकालने के लिए, स्थायी कमांड पंक्ति पहुँच स्थापित करने, या उस भेद्यता का उपयोग अन्य प्रणालियों में घुसने के लिए नहीं उठाएँ।

आपसे निम्नलिखित का भी अनुरोध किया जाता है:

ननियमों का पालन करते हुए कार्य करें, जिनमें शामिल हैं यह नीति तथा अन्य प्रासंगिक अनुबंध। यदि इस नीति और अन्य किन्हीं लागू होने वाली शर्तें में असंगतता हो, तो इस नीति को प्राथमिकता मिलेगी।
केवल अपने खुद के परीक्षण खातों के साथ अंतर्क्रिया करें।
किसी भी परीक्षण के लिए खाता निर्माण को दो (2) तक सीमित रखें।
हमारे साथ भेद्यता जानकारी का खुलासा करने और/या इनकी चर्चा करने के लिए केवल आधिकारिक चैनलों का उपयोग करें।
यदि प्रभाव को सिद्ध करने के लिए भेद्यताओं की एक शृंखला की आवश्यकता नहीं हो, तो प्रति रिपोर्ट केवल एक भेद्यता जमा करें।
रिपोर्ट जमा करने के बाद अनुसंधान के दौरान निकाले गए सभी डेटा को मिटा दें।
केवल दायरे में आने वाली प्रणालियों पर परीक्षण करें, और जो दायरे के बाहर हों, उन प्रणालियों और गतिविधियों का सम्मान करें।
भेद्यताओं का पता लगाने के लिए उच्च-तीव्रता वाले आक्रामक या स्वचालित स्कैनिंग औजारों के उपयोग से बचें।
Trading Point की पूर्व-लिखित अनुमति के बिना किसी भी भेद्यता का सार्वजनिक खुलासा नहीं करें।
"सेवा की मनाही" प्रकार के हमले निष्पादित नहीं करें
Trading Point के कार्यालयों, उपयोगकर्ताओं या कर्मचारियों के विरुद्ध सामाजिक अभियांत्रिकी और/या भौतिक सुरक्षा हमले नहीं करें।
वेब फॉर्मों का स्वचालित/स्क्रिप्ट चलाकर परीक्षण नहीं करें, विशेषकर "हमसे संपर्क करें" फॉर्मों का, जो ग्राहकों द्वारा हमारे ग्राहक देखरेख टीम से संपर्क किए जाने के लिए डिजाइन किए गए हैं।

जब आपने सिद्ध कर लिया हो कि कोई भेद्यता मौजूद है अथवा आप अनजाने में किसी संवेदनशील डेटा देख ली हो (जिनमें निजी तौर पर पहचानी जा सकनी वाली जानकारी (PII), वित्तीय जानकारी, मालिकाना जानकारी, या किसी भी पक्ष के व्यापार रहस्य शामिल हैं) आपको अपना परीक्षण तुरंत रोक देना चाहिए, और इस डेटा का खुलासा किसी को भी नहीं करना है। आपको न्डेटा में अपनी पहुँच को किसी अवधारण के प्रमाण को कारगर रीति से दर्शाने के लिए आवश्यक न्यूनतम डेटा तक सीमित करना चाहिए।

2.3. भेद्यता की सूचना देना / आधिकारिक चैनल

कृपया ज्ञात हुए सुरक्षा मुद्दों / वास्तविक या संभाव्य भेद्यताओं को vulnerability.disclosure@xm.com द्वारा रिपोर्ट करें, और सभी प्रासंगिक जानकारी भी दें। आप जितना अधिक विवरण देंगे, हमें इन मुद्दों गंभीरता के संबंध में निर्णय लेने और उनका हल निकालने में उतनी ही अधिक सहूलियत होगी।

हमें गंभीरता का निर्धारण में मदद करने तथा प्राप्त हुई रिपोर्टों की प्राथमिकता निश्चित करने के लिए, हम सुझाव देते हैं कि आपकी रिपोर्ट में:

उस स्थान या अनुप्रयोग पथ का विवरण दें जहाँ इस भेद्यता को देखा गया था तथा इस भेद्यता से लाभ उठाने से होने वाले संभाव्य प्रभाव का वर्णन करें।
इस भेद्यता को दुहराने के लिए आवश्यक चरणों का विस्तृत विवरण दें (अवधारणा-का-प्रमाण वाले स्क्रिप्ट या स्क्रीनशॉप उपयोगी रहेंगे)।
अधिकाधिक विवरण शामिल करें।
आप जिस IP पते से परीक्षण कर रहे थे, उसे, ईमेल पते को, और व्यापार मंच में उपयोग किए गए उपयोगकर्ता-एजेंट और उपयोगकर्ता नाम (यदि कोई हो, तो) को शामिल करें।
संभव हो, तो अँग्रेजी का प्रयोग करें

यदि आपको लगता हो कि यह भेद्यता गंभीर प्रकार की है और इसमें संवेदनशील जानकारी है, तो आप हमारी टीम को अपनी PGP कुंजी का उपयोग करके एक PGP कूटलिखित ईमेल भेज सकते हैं।

2.4. दायरा

क) दायरे में आने वाली प्रणालियाँ/सेवाएँ

डोमेन	Android ऐप	iOS ऐप
https://www.xm.com/hi https://my.xm.com/hi	XM Android अनुप्रयोग (com.xm.webapp)	XM iOS अनुप्रयोग (id1072084799)

डोमेन

Android ऐप

iOS ऐप

https://www.xm.com/hi

https://my.xm.com/hi

XM Android अनुप्रयोग (com.xm.webapp)

XM iOS अनुप्रयोग (id1072084799)

ख) दायरे के बाहर वाली प्रणालियाँ/सेवाएँ

ऊपर के "दायरे में आने वाली प्रणालियाँ/सेवाएँ” अनुभाग में जो भी सेवाएँ (जैसे कनेक्ट की गई सेवाएँ) या डोमेन स्पष्ट रूप से उल्लिखित नहीं हैं, वे सब दायरे से बाहर हैं और वे परीक्षण के लिए अधिकृत नहीं हैं। साथ ही, हमारे विक्रेताओं की प्रणालियों में मौजूद भेद्यताएँ इस नीति के दायरे से बाहर हैं और इन्हें इन विक्राताओं की खुलासा नीति (यदि कोई हो, तो) के अनुसार सीधे उन्हें रिपोर्ट करना चाहिए। यदि आप दुविधा में हों कि कोई प्रणाली दायरे में है या नहीं, तो हमसे vulnerability.disclosure@xm.com पर संपर्क करें।

ग) दायरे में आने वाली भेद्यताएँ

SQL अंतर्वेशन
क्रॉस-साइट स्क्रिप्टिंग (XSS)
कोड का दूरस्थ निष्पादन (RCE)
सर्वर की तरफ से अनुरोध जालसाजी (SSRF)
टूटा हुआ प्रमाणीकरण और सत्र प्रबंधन
असुरक्षित प्रत्यक्ष वस्तु संदर्भ (IDOR)
संवेदनशील डेटा का अनावरण
निर्देशिका/पथ क्रमण
स्थानीय/ दूरस्थ फाइल का समावेशन
क्रॉस-साइट अनुरोध जालसाजी (CSRF) जहाँ इनका प्रभाव उच्च स्तर का हो और उसे सिद्ध किया जा सकता हो
संवेदनशील प्राचलों में ओपन रीडाइरेक्ट
उप-डोमेन पर कब्जा (उप-डोमेन कब्जे के लिए एक मैत्रीपूर्ण संदेश जोड़ें, जैसे: "हम इस पर काम कर रहे हैं, और जल्दी ही वापस आएँगे।")

घ) दायरे के बाहर वाली भेद्यताएँ

कुछ प्रकार की भेद्यताएँ भेद्यता खुलासा कार्यक्रम के दायरे के बाहर मानी जाती हैं। इनमें ये तथा अन्य शामिल हैं:

ईमल कॉन्फिगरेशन से संबंधित मुद्दे, जिनमें शामिल हैं, SPF, DKIM, DMARC सेटिंग
क्लक्लिकजैकिंग प्रकार की भेद्यताएँ जिनके फलस्वरूप संवेदनशील कार्रवाइयाँ नहीं होती हैं, जैसे खाते में परिवर्तन
आत्म-XSS (उदा., जिसमें उपयोगकर्ता को बरगलाकर उन्हें अपने वेब ब्राउजर में कोड चिपकाने के लिए राजी करा लिया जाता है)
विषयवस्तु स्पूफिंग, जिसमें होने वाला प्रभाव न्यूनतम ही हो (उदा., गैर-HTML पाठ का अंतर्वेशन)
क्रॉस-साइट अनुरोध जालसाजी (CSRF) जिसमें होने वाला प्रभाव न्यूनतम हो (उदा., लॉगिन या लॉगाउट फॉर्मों में CSRF)
ओपन रीडाइरेक्ट - यदि कोई अतिरिक्त सुरक्षा प्रभाव दर्शाया नहीं जा सकता हो
CRLF हमले, जिनका मामूली प्रभाव ही पड़ता हो
मेजबान हेडर का अंतर्वेशन जहाँ इससे मामूली प्रभाव ही पड़ता हो
गैर-संवेदनशील कुकियों में केवल Http या सुरक्षित फ्लैगों का न होना
SSL/TLS कॉन्फिगरेशन और साइफरों में सर्वोत्तम प्रथाएँ न होना
अनुपस्थित या गलत रीति से कॉन्फिगर किए गए HTTP सुरक्षा हेडर (उदा., CSP, HSTS)
ऐसे फॉर्म जिनमें कैपचा नियंत्रण नहीं हैं
लॉगिन पृष्ठ त्रुटि संदेश के जरिए उपयोगकर्ता नाम/ईमेल की परिगणना
पासवर्ड भूल गए त्रुटि संदेश के जरिए उपयोगकर्ता नाम/ईमेल की परिगणना
ऐसे मुद्दे जिनमें उपयोगकर्ता की ओर से किसी असंभाव्य अंतर्क्रिया की आवश्यकता हो
पासवर्ड की जटिलता अथवा खाता या पासवर्ड नीतियों से संबंधित अन्य कोई मुद्दे
सत्र समय-समाप्ति का अभाव
अत्यधिक ताकत लगाकर किए गए हमले
गैर-गंभीर कार्रवाइयों के लिए मुद्दों को रेट-लिमिट करना
लाभ उठाए जाने के प्रमाण के बिना WordPress भेद्यताएँ
लाभ उठाए जाने के प्रमाण के बिना भेद्यता-युक्त सॉफ्टवेयर संस्करण का खुलासा
ऐसी कोई भी गतिविधि जो हमारी सेवा में खलल डालें (DoS)
मूल को रक्षण नहीं प्रदान करना / मूल को रक्षण प्रदान करने से बचना (मोबाइल अनुप्रयोग)
SSL प्रमाणपत्र संलग्न न करना / SSL प्रमाणपत्र संलग्न करने से बचना (मोबाइल अनुप्रयोग)
कोड को अस्पष्ट न बनाना (मोबाइल अनुप्रयोग)

2.5. प्रतिक्रिया समय

Trading Point जितना संभव हो सके उतने खुलेपन से और उतनी शीघ्रता से आपके साथ समायोजन करने के प्रति समर्पित हैं और हम अपने कार्यक्रम में भाग लेने वाले अनुसंधानकर्ताओं के लिए निम्नलिखित प्रतिक्रिया-लक्ष्यों को पूरा करने का यथा-शक्ति प्रयास करेंगे:

प्रथम प्रतिक्रिया तक का समय (रिपोर्ट जमा करने के दिन से गिनते हुए) तीन (3) कार्य दिवस है। तीन कार्य दिवसों में हम इसकी पुष्टि करेंगे कि हमें आपकी रिपोर्ट मिल गई है।
गंभीरता का निर्धारण (ट्राएज) करने में लगने वाला समय (सूचना मिलने के समय से गिनते हुए) पाँच (5) कार्य दिवस है।

हम यथा-शक्ति उस भेद्यता की उपस्थिति की पुष्टि आपके साथ करेंगे तथा उसके निराकरण के लिए हम क्या कदम उठा रहे हैं, इसके संबंध में, और निराकरण में विलंब लाने वाले मुद्दों तथा चुनौतियों के बारे में यथा-संभव पारदर्शी होने की कोशिश करेंगे। पूरी प्रक्रिया के दौरान हम आपको अवगत रखने की कोशिश करेंगे।

3. पुरस्कार

इस नीति के अनुसार सुरक्षा की भेद्यता के बारे में जो लोग हमें सूचनाएँ भेजने का समय निकालते हैं तथा इस ओर प्रयास करते हैं, उनकी हम सराहना करते हैं। लेकिन, फिलहाल हम भेद्यता की सूचना देने के लिए कोई भी पुरस्कार नहीं पेश कर रहे हैं। हो सकता है कि भविष्य में यह बदले।