الإبلاغ عن مشاكل أمنية
نقدّر الباحثين في الأمن السيبراني الذين يساعدوننا على حماية مستخدمينا.
النسخة 1.0·آخر تحديث: ٢٠ مايو ٢٠٢٦اضغط لعرض سجل التغييرات الكامل▾
النسخة 1.0·آخر تحديث: ٢٠ مايو ٢٠٢٦
اضغط لعرض سجل التغييرات الكامل
- v1.0٢٠ مايو ٢٠٢٦
- النسخة الأولى لسياسة الإفصاح المسؤول
١. القناة الرسمية
أرسل تقريرك إلى security@mibyanai.com مشفّراً بمفتاح PGP العام المتاح على نفس البريد عند الطلب. نؤكد الاستلام خلال ٢٤ ساعة.
٢. النطاق المقبول
mibyanai.comو*.mibyanai.commibyan.omو*.mibyan.om- تطبيقات مبيان لسطح المكتب والجوال.
- واجهات API العامة تحت
/api/public/*.
٣. خارج النطاق
- هجمات DoS/DDoS أو هندسة اجتماعية على موظفينا.
- ثغرات معروفة في مكتبات الطرف الثالث دون استغلال مؤكَّد في مبيان.
- مشاكل إعدادات SPF/DKIM/DMARC على نطاقات لا نستخدمها للبريد.
- تقارير ماسحات آلية بدون إثبات استغلال.
٤. ما نتوقعه من الباحث
- عدم الوصول لبيانات مستخدمين آخرين أو تعديلها أو حذفها.
- عدم نشر الثغرة قبل ٩٠ يوماً من تاريخ الإبلاغ أو حتى الإصلاح، أيهما أسبق.
- تزويدنا بخطوات إعادة إنتاج واضحة وأي PoC.
٥. Safe Harbor
لن نتخذ إجراءات قانونية ضد الباحثين الذين يلتزمون بهذه السياسة ويبلّغون بحسن نية. الالتزام بسياسة الإفصاح هذه يُعتبر تصريحاً مسبقاً للتفاعل مع النظام لأغراض الاختبار.
٦. التقدير والمكافآت
نُدرج الباحثين الذين قدّموا تقارير صالحة في صفحة شكر عامة (باختيارهم). برنامج المكافآت المالية قيد الإعداد ويُعلن قريباً.
٧. تنبيه عن خرق بيانات
إذا اكتشفت تسرّب بيانات يخصّك أو يخصّ مستخدمين آخرين، راسلنا فوراً مع كلمة "BREACH" في عنوان البريد. نُخطر المتأثرين والجهات الرقابية حسب الأنظمة المعمول بها (PDPL في عُمان وGDPR في الاتحاد الأوروبي) خلال المهل القانونية.