قوانین و مقررات سامانه کلاه سفید

کلاه سفید یک سامانه برخط برای برگزاری مسابقات کشف باگ و ارزیابی امنیتی با استفاده از خرد جمعی است. این سامانه، نرم‌افزارهای مشتریان را در معرض ارزیابی امنیتی طیف وسیعی از محققین امنیت رایانه قرار می‌دهد. این توافقنامه حقوقی شرایط استفاده از سامانه کلاه سفید را برای مشتریان مشخص کرده و کلیه مشتریان حقیقی و حقوقی پیش از استفاده از سامانه موافقت خود را با مفاد آن اعلام می‌کنند.

الف) تعاریف

باگ امنیتی (حفره امنیتی): هر نقطه ضعف یا نقیصه‌ای در نرم‌افزارها یا سامانه‌ها که می‌تواند موجب سوء‌استفاده نفوذگران واقع شده و خط‌مشی امنیتی را دور بزند.

مسابقه کشف باگ: یک مسابقه با هدف کشف باگ‌های سامانه یا نرم‌افزارهای مشخص شده در شرایط مسابقه که با شرکت متخصصین عضو سامانه کلاه سفید برگزار می‌گردد.

مسابقه عمومی: مسابقاتی که کلیه متخصصین عضو شده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند.

مسابقه خصوصی: مسابقاتی که تنها متخصصین شناخته شده، امکان شرکت در آن را دارند.

متخصص امنیتی: اشخاص حقیقی یا حقوقی که به عنوان متخصص امنیتی در سامانه کلاه سفید ثبت نام می‌کنند و در مسابقات کشف باگ شرکت می‌نمایند. این متخصصین در دو سطح اصلی قرار دارند، متخصصین شناخته شده، که هویت آن‌ها مورد تأیید سامانه کلاه سفید قرار گرفته و متخصصین ناشناس. متخصصین شناخته شده، امکان شرکت در مسابقات خصوصی را دارند.

برگزار‌کننده مسابقه: کلیه اشخاص حقیقی یا حقوقی که مایل‌اند سامانه یا نرم‌افزار مدنظر خود را در معرض ارزیابی امنیتی توسط متخصصین امنیتی در سامانه کلاه سفید قرار دهند.

شرایط مسابقه: کلیه ملاحظات و نکات مدنظر برگزار کننده یک مسابقه در شرایط مسابقه ذکر می‌شود. این موارد می‌تواند شامل نحوه کشف باگ و ثبت گزارش، اهداف و سامانه‌های موردنظر برای کشف باگ، آسیب‌پذیری‌های قابل قبول و میزان جوایز و همچنین آسیب‌پذیری‌های غیر قابل قبول باشد.

گزارش کشف باگ: گزارش کشف باگ شامل کلیه اطلاعاتی است که به داوران سامانه کلاه سفید این امکان را می‌دهد که باگ کشف شده را صحت سنجی نمایند. به عنوان مثال، جهت پرداخت جایزه کشف باگ، مدارک قابل استناد که باگ را تأیید کند (مانند فیلم، عکس از صفحه مونیتور و غیره)، می‌بایست در گزارش گنجانده شود.

ب) تعهدات و ملاحظات حقوقی متخصصین امنیتی

  1. محرمانگی باگ‌ها

متخصصین شرکت‌کننده در مسابقات تعهد می‌نمایند که جزئیات آسیب‌پذیری‌های کشف شده را جز در سامانه کلاه سفید در هیچ سایت، بلاگ یا شبکه اجتماعی منتشر ننمایند. پس از گزارش باگ و رفع نقطه ضعف امنیتی، در صورت موافقت کتبی برگزار کننده مسابقه، متخصص می‌تواند جزئیات آسیب‌پذیری را با هماهنگی برگزار کننده منتشر نماید.

  1. گزارش مسئولانه باگ‌ها

همچنین متخصصین شرکت کننده در مسابقات تعهد می‌نمایند که در صورت کشف باگ در سامانه‌های یک مسابقه آن را گزارش نمایند. سامانه‌های مورد ارزیابی در مسابقات تحت نظارت دائمی قرار دارند و در صورت کشف باگ و عدم گزارش آن، مسئولیت‌های ناشی از سوء استفاده از باگ مورد نظر بر عهده متخصص مربوطه خواهد بود.

  1. سامانه‌های مجاز برای ارزیابی امنیتی

متخصصین امنیتی تنها مجازند سامانه‌هایی که در بخش سامانه‌های هدف یک مسابقه آورده شده مورد ارزیابی و نفوذ قرار دهند. در صورتی که سامانه‌ها یا آدرس‌های IP خارج از این محدوده مورد ارزیابی قرار گیرد، مسئولیت حقوقی آن با متخصص مربوطه خواهد بود.

  1. آسیب‌پذیری‌ها و حملات مجاز

متخصصین تعهد می‌کنند که شرایط برگزاری مسابقه را برای هر یک از مسابقات به دقت مطالعه کرده و تنها اقدام به کشف یا بهره‌برداری از آسیب‌پذیری‌هایی بنمایند که در بخش آسیب‌پذیری‌های قابل قبول در شرایط مسابقه آورده شده است.

بهره‌برداری یا انجام حملاتی که در شرایط مسابقه ذکر نشده، غیر مجاز بوده و مسئولیت حقوقی آن بر عهده متخصص مربوطه است.

ج) تعهدات و ملاحظات حقوقی برگزارکنندگان مسابقات

  1. استقلال متخصصین از کلاه سفید

کلاه سفید شرایطی را فراهم می‌کند که مشتریان و متخصصین امنیتی با هم ارتباط برقرار کنند اما کلاه سفید هیچ کنترل یا نظارتی بر روی متخصصین امنیتی ندارد. این متخصصین کارمندان کلاه سفید نیستند. مشتریان تأیید می‌کنند که ارتباط متخصصین امنیتی با کلاه سفید به صورت یک پیمانکار مستقل است.

  1. سامانه‌های مجاز در کلاه سفید

سازمان یا فرد برگزار کننده‌ی مسابقه تنها مجاز به برگزاری مسابقه برای محصولات یا سامانه‌هایی است که متعلق به اوست. کلاه سفید پیش از برگزاری مسابقه، اطمینان حاصل می‌کند که فرد یا سازمان، مالک محصول یا سامانه‌ی موردنظر است. در حال حاضر تنها سامانه‌های مستقر در کشور ایران می‌توانند در مسابقات تعریف شوند.

  1. هزینه‌ها

برگزارکننده مسابقه تعهد می‌نمایند که هزینه برگزاری مسابقه را با توجه به روش پرداخت انتخابی پرداخت نمایند. 3 روش پرداخت در حال حاضر برای سامانه کلاه سفید در نظر گرفته شده است:

روش 1 (طلایی)

  • سازمان پیش از آغاز مسابقه کل مبلغ جوایز اهدایی را پرداخت می‌کند.
  • 10% از کل مبلغ بعنوان کارمزد برگزاری مسابقه کسر و 90% مبلغ بعنوان اعتبار جوایز مسابقه در نظر گرفته می‌شود.
  • از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود. پس از طی شدن زمان مسابقه، اعتبار باقیمانده در حساب سازمان باقی مانده و می‌تواند در مسابقه بعدی مورد استفاده قرار بگیرد یا کل مبلغ باقیمانده به سازمان مسترد شود.

روش 2 (نقره‌ای)

  • سازمان پیش از آغاز مسابقه 50% کل مبلغ جوایز اهدایی را پرداخت می‌کند.
  • 18% از کل مبلغ به عنوان کارمزد برگزاری مسابقه کسر و 82% مبلغ پرداختی به عنوان اعتبار جوایز مسابقه در نظر گرفته می‌شود.
  • از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود. پس از طی شدن زمان مسابقه، اعتبار باقیمانده در حساب سازمان باقی‌مانده و می‌تواند در مسابقه بعدی مورد استفاده قرار بگیرد. در صورت درخواست سازمان 50% مبلغ اعتبار می‌تواند به سازمان مسترد شود و مابقی در حساب سازمان باقی می‌ماند.

روش 3 (برنزی)

  • سازمان پیش از آغاز مسابقه 25% کل مبلغ جوایز اهدایی را پرداخت می‌کند.
  • 25% از کل مبلغ به عنوان کارمزد برگزاری مسابقه کسر و 75% مبلغ پرداختی به عنوان اعتبار جوایز مسابقه در نظر گرفته می‌شود.
  • از مبلغ اعتبار سازمان، پس از کشف و تأیید باگ، مبلغ جوایز به متخصصین پرداخت می‌شود. پس از طی شدن زمان مسابقه، اعتبار باقیمانده در حساب سازمان باقی‌مانده و می‌تواند در مسابقه بعدی مورد استفاده قرار بگیرد. در این حالت اعتبار سازمان غیرقابل استرداد است.
  1. محرمانگی

کلاه‌سفید اطلاعات برگزارکننده مسابقه و گزارش‌های ارسالی متخصصین را محرمانه تلقی می‌کند و تنها در اختیار رابط معرفی شده برگزارکننده مسابقه قرار می‌دهد.