راهنمای سازمان‌ها

باگ‌بانت چیست؟

سامانه دریافت گزارش نقص امنیتی سامانه‌های در بستر اینترنت سازمان‌های استان قم است. هر کاوش‌گر و متخصص می‌توانند موارد شناسایی شده نقص امنیت در سامانه‌های دولتی و  مهم استان را برای ایجاد بستری امن‌تر گزارش کند. باگ‌بانت با حفظ ارزش معنوی گزارش سعی در اطلاع رسانی به سازمان مورد نظر خواهد داشت و با تعامل دوجانبه‌ بین گزارش کننده و سازمان، به ایجاد فضای حرفه‌ای و افزایش انگیزه‌ی سازندگی فضای امن سایبری کمک می‌کند.

در باگ‌بانت چه اتفاقی افتاده است؟

در باگ‌بانت، گزارش نقص امنیتی دریافت شده و صحت‌ آن در بررسی‌های انجام شده، مورد تایید قرار گرفته است. پیروی فرآیند، مراتب اطلاع رسانی به سازمان متولی برنامه‌ی تحت وب انجام می‌گیرد. سازمان بسته به سیاست داخلی خود می‌تواند هشدار را دریافت کرده و مسئولیت بررسی عمیق و رفع نقص امنیتی را برعهده بگیرد و یا با سیاست باگ‌بانت در تعامل با فرد گزارش‌کننده همکاری کند.

سازمان برای همکاری چه باید انجام دهد؟

مراتب همکاری توسط نامه رسمی به مرکز تخصصی آپا دانشگاه قم اعلام گردد و برای حفظ و ارتقای امنیت فضای سایبری، مبلغی تحت عنوان پاداش طبق سیاست باگ‌بانت درنظر گرفته می‌شود و مستقیما به نام گزارش‌کننده اختصاص پیدا می‌کند.

درجه‌ی آسیب‌پذیری پاداش (ریال)
بحرانی 10،000،000
بالا 6،000،000
متوسط 3،000،000

مرکز تخصصی آپا دانشگاه قم به عنوان متولی باگ‌بانت، وظیفه دریافت، اطلاع رسانی و ایجاد تعامل سازنده بین گزارش کننده و سازمان درگیر نقص امنیت را بر عهده دارد و ارزش معنوی این امر را آورده خود قلمداد می‌کند.

در صورت عدم همکاری چه پیش می‌آید؟

باگ‌بانت از گزارش‌های دریافتی، به صورت محرمانه نگهداری می‌کند و در قبال افشای نقص امنیتی توسط افراد خارج از مجموعه باگ‌بانت مسئولیت بر عهده ندارد. به گزارش کننده هم به صورت اخلاقی توصیه می‌شود که نسبت به حفظ اطلاعت دریافتی به صورت محرمانه، مباردت ورزد. ذکر این نکته لازم است که نقص امنیتی وجود دارد و ممکن است توسط هر فرد و یا گروهی شناسایی شود و چه بسا مورد سو استفاده قرار گیرد. لذا توصیه شدید می‌شود نسبت به همکاری یا اقدامات رفع مشکل، سریع‌تر صورت گیرد.

فرآیند در همکاری چگونه است؟

مرکز تخصصی آپا دانشگاه قم، وجه پرداختی سازمان را به امانت نزد خود نگه‌ می‌دارد و با معرفی گزارش کننده به فرد معرفی سازمان، ناظر بر همکاری خواهد بود. گزارش کننده، با انتقال گزارش کامل نقص امنیتی و مشارکت در رفع آسیب‌ مجاز به دریافت وجه پاداش خواهد بود. در غیر اینصورت، پس از بررسی وجه به سازمان عودت داده می‌شود.