ជឿជាក់គ្រប់ជំហាន ជាមួយ TrueMoney Wallet

គណនី

ជឿជាក់គ្រប់ជំហាន ជាមួយភ្នាក់ងារទ្រូម៉ាន់នី

អំពី

ភ្ជាប់ទំនាក់ទំនងសម្រាប់ឱកាសជាដៃគូរជាមួយគ្នា

សារៈសំខាន់

ជឿជាក់គ្រប់ជំហាន ជាមួយទ្រូម៉ាន់នី

ចំណេញគ្រប់ពេល

គោលនយោបាយបង្ហាញភាពងាយរងគ្រោះ

គោលនយោបាយបង្ហាញភាពងាយរងគ្រោះ
របស់បណ្តាក្រុមហ៊ុនសមាជិកក្នុងក្រុមហ៊ុន Ascend Money

Ascend Money Group of Companies (ហៅរួមថា “ACM”) សូមបញ្ជាក់ពីសារៈសំខាន់ និងការប្តេជ្ញាចំពោះការរក្សាសុវត្ថិភាពទិន្នន័យ ប្រព័ន្ធ ផលិតផល និងកម្មវិធី ដោយការពារពួកវាពីការបង្ហាញព័ត៌មានសុវត្ថិភាពដោយមិនមានការអនុញ្ញាត។

គោលនយោបាយបង្ហាញភាពងាយរងគ្រោះ (“គោលនយោបាយ” ឬ Vulnerability Disclosure Program – “VDP”) ត្រូវបានបង្កើតឡើង ដើម្បីផ្តល់ព័ត៌មានច្បាស់លាស់ដល់អ្នកស្រាវជ្រាវសន្តិសុខ អំពីរបៀបសConduct សកម្មភាពស្រាវជ្រាវភាពងាយរងគ្រោះ និងរបៀបទាក់ទងមកកាន់យើង តាមការណែនាំ និងការអនុម័តរបស់ ACM ជានិច្ច។ ACM លើកទឹកចិត្តឱ្យអ្នកស្រាវជ្រាវរាយការណ៍ និងចែករំលែកជំនាញពាក់ព័ន្ធដោយស្មោះត្រង់ ដើម្បីឱ្យយើងអាចកែសម្រួលភាពងាយរងគ្រោះ បង្កើនសុវត្ថិភាព និងផ្តល់ការទទួលស្គាល់តាមដែលសមរម្យចំពោះការរួមចំណែករបស់អ្នកចំពោះសហគមន៍សន្តិសុខ។

គោលនយោបាយនេះពិពណ៌នាអំពីច្បាប់ចូលរួម វិសាលភាព និងអ្វីដែលមិនរួមបញ្ចូល របៀបដាក់ស្នើរបាយការណ៍ ช่องទំនាក់ទំនង និងអ្វីដែលអ្នកស្រាវជ្រាវអាចរំពឹងទុកក្រោយពេលដាក់ស្នើរបាយការណ៍ រួមទាំងសកម្មភាពរបស់ ACM ក្នុងការកែសម្រួលបញ្ហា ការទំនាក់ទំនងវិញ និងការទទួលស្គាល់អ្នកស្រាវជ្រាវ។

ជាមួយនេះ គោលនយោបាយត្រូវបានកំណត់ឱ្យស្របតាមការអនុវត្តល្អជាទូទៅសម្រាប់ការបង្ហាញភាពងាយរងគ្រោះ ប៉ុន្តែមិនមែនជាការអនុញ្ញាតឱ្យបុគ្គល ឬនីតិបុគ្គលណាមួយ ប្រព្រឹត្តសកម្មភាពខុសច្បាប់ ឬបណ្ដាលឱ្យ ACM ឬដៃគូររបស់ខ្លួន ធ្វើខុសពីកាតព្វកិច្ចផ្លូវច្បាប់ឡើយ។

លក្ខខណ្ឌចូលរួម

មុននឹងដាក់ស្នើរបាយការណ៍ភាពងាយរងគ្រោះ សូមអាន និងយល់អំពីព័ត៌មានក្នុងគោលនយោបាយនេះឱ្យបានច្បាស់លាស់។ ACM សូមថ្លែងក្តីគោរពចំពោះបុគ្គល (ក្នុងគោលនយោបាយនេះហៅថា “អ្នកស្រាវជ្រាវសន្តិសុខ”) ដែលសហការចែករំលែកបញ្ហាសន្តិសុខដោយមានការទទួលខុសត្រូវ។ សូមចំណាំថា ACM មិនផ្តល់ការបង់ប្រាក់ឬរង្វាន់សម្រាប់ការរាយការណ៍ទេ ហើយមិនអនុញ្ញាតការបង្ហាញសាធារណៈអំពីភាពងាយរងគ្រោះឡើយ។ នេះជាលក្ខខណ្ឌសំខាន់សម្រាប់អ្នកស្រាវជ្រាវទាំងអស់ដែលចូលរួមជាមួយ ACM ក្នុងបរិបទនេះ។

ដើម្បីគាំទ្រការស្រាវជ្រាវសន្តិសុខត្រឹមត្រូវ និងបំបែកអំពើសុចរិតចេញពីសកម្មភាពដែលមានគ្រោះថ្នាក់ ជាការទាមទារថា អ្នកស្រាវជ្រាវត្រូវ៖
• គោរពតាមច្បាប់ និងលក្ខខណ្ឌដែលបានកំណត់ក្នុងគោលនយោបាយនេះ និងលក្ខខណ្ឌដែលពាក់ព័ន្ធផ្សេងទៀត
• សាកល្បងតែប៉ុណ្ណោះក្នុងវិសាលភាពដែល ACM បានកំណត់ និងកុំចូលរួមលើប្រព័ន្ធឬតំបន់ក្រៅវិសាលភាព
• ប្រើការប្រុងប្រយ័ត្នក្នុងកម្រិតខ្ពស់បំផុត ដើម្បីជៀសវាងការរំលោភឯកជនភាព ការបាត់បង់ទិន្នន័យ និងការរំខានសេវាកម្ម ហើយរក្សាការសម្ងាត់ជាខ្ជាប់ខ្ជួនចំពោះព័ត៌មានដែលបានប៉ះពាល់
• យល់ព្រមថា របាយការណ៍ភាពងាយរងគ្រោះទាំងអស់ជាកម្មសិទ្ធិផ្តាច់មុខរបស់ ACM ហើយធ្វើការផ្ទេរសិទ្ធិណាមួយដែលអាចមាន ទៅ ACM ដោយមិនមានការទាមទារគ្រប់យ៉ាង
• ប្រសិនបើរកឃើញភាពងាយរងគ្រោះដែលអាចអនុញ្ញាតឱ្យចូលដំណើរការទិន្នន័យដោយមិនបាននឹកស្មាន ត្រូវចូលប្រើតិចតួចតែប៉ុណ្ណោះសម្រាប់ការបង្ហាញ Proof of Concept
• បញ្ឈប់ការសាកល្បងភ្លាមៗ ប្រសិនបើរកឃើញទិន្នន័យអ្នកប្រើប្រាស់ ព័ត៌មានផ្ទាល់ខ្លួន ព័ត៌មានសុវត្ថិភាព ឬព័ត៌មានងាយរងគ្រោះ
• រាយការណ៍ការរកឃើញដោយឆាប់រហ័ស តាមអ៊ីមែល [email protected]
• ផ្តល់ពេលវេលាសមរម្យឱ្យ ACM ពិនិត្យ និងកែសម្រួលបញ្ហា

អ្នកស្រាវជ្រាវមិនត្រូវ៖
• សាកល្បងប្រព័ន្ធ ឬកម្មវិធីណាមួយក្រៅពីអ្វីដែលបានកំណត់ក្នុង “Scope”
• សាកល្បងក្នុងរបៀបដែលអាចបណ្តាលឱ្យប្រព័ន្ធមានភាពរំខាន degraded, DoS ឬ DDoS
• បញ្ចូល malicious code
• បង្ហាញព័ត៌មានភាពងាយរងគ្រោះ ឬផ្នែកណាមួយនៃរបាយការណ៍ក្រៅពីអ្វីដែលបានកំណត់ក្នុងផ្នែក “Reporting a Vulnerability”
• រំលោភឯកជនភាព ឬសុវត្ថិភាពរបស់ ACM បុគ្គលិក ACM ឬដៃគូ័
• រំលោភលើទ្រព្យសិទ្ធិបញ្ញា ឬផលប្រយោជន៍ពាណិជ្ជកម្ម/ហិរញ្ញវត្ថុរបស់ ACM និងភាគីពាក់ព័ន្ធ
• លុប កែប្រែ ចែករំលែក រក្សាទុក លក់ ឬបំផ្លាញព័ត៌មានរបស់ ACM
• ជួញដូរ ឬអនុវត្ត social engineering និងការធ្វើតេស្តផ្នែករចនាសម្ព័ន្ធរូបវន្ត

 
វិសាលភាព

ប្រព័ន្ធ និងសេវាកម្មទាំងអស់ដែលពាក់ព័ន្ធនឹងដូមេនខាងក្រោម រួមទាំង subdomains (លើកលែងតែមានការបញ្ជាក់ផ្សេងទៀត) ស្ថិតនៅក្នុងវិសាលភាពនៃ VDP៖

.truemoney.
*.tmn-dev.com
*.ascendcorp.com
*.ascendmoney.io
*.ascendmoneygroup.com
.truemoneyplus.
.truemoneyvay.
*.ascendnano.com
*.ascendnano.io
*.ascendwealth.co.th
*.ascendwealth.io
*.insurance.ascendmoney.io
*.abc-dev.network
.ascendbit.

ក្នុងករណីអ្នកមិនប្រាកដថា domain, system ឬ endpoint មួយស្ថិតក្នុងវិសាលភាពឬអត់ សូមទាក់ទង [email protected] មុនចាប់ផ្តើមការស្រាវជ្រាវ។

ករណីលើកលែង

បញ្ហាសន្តិសុខខាងក្រោមមិនត្រូវបានទទួលសម្រាប់ការរាយការណ៍៖
• HTTP 404 pages ឬ text injection/content spoofing លើទំព័រខុសកូដ
• ការរាយការណ៍ software outdated ដោយគ្មាន Proof of Concept
• ប្រព័ន្ធ ឬពិធីការដែលអាចប្រើសម្រាប់ DDoS
• បញ្ហា SSL ដូចជា forward secrecy disabled ឬ weak/insecure cipher suites
• DNS CAA records
• Header issues ដូចជា Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security Policy
• Social engineering (phishing, vishing, smishing)
• Physical security vulnerabilities

ការរាយការណ៍ពីភាពងាយរងគ្រោះ

ប្រសិនបើអ្នកជឿថាបានរកឃើញភាពងាយរងគ្រោះក្នុងទិន្នន័យ ប្រព័ន្ធ ផលិតផល ឬកម្មវិធីរបស់ ACM សូមរាយការណ៍តាមអ៊ីមែល [email protected]
សូមរួមបញ្ចូលព័ត៌មានដូចខាងក្រោម៖
• Website, IP address ឬ URL ដែលមានបញ្ហា
• សង្ខេបប្រភេទភាពងាយរងគ្រោះ
• ជំហានច្បាស់លាស់ក្នុងការផលិត Proof of Concept ដែលមានសុវត្ថិភាព និងមិនបំផ្លាញប្រព័ន្ធ
• ផលប៉ះពាល់
• Risk score (តាម OWASP risk rating calculator)
• ព័ត៌មានទំនាក់ទំនង (តាមជម្រើស)

ការបេ្តជ្ញារបស់ពួកយើង

ACM នឹងធ្វើការទទួលស្គាល់ការទទួលបានរបាយការណ៍របស់អ្នកក្នុងរយៈពេល ៧ ថ្ងៃធ្វើការ។
ACM នឹងព្យាយាមផ្តល់ព័ត៌មានអំពីវឌ្ឍនភាពក្នុងការដោះស្រាយបញ្ហា។
ភាគច្រើនប្រសិនបើអ្នកអនុវត្តតាមគោលនយោបាយនេះ ACM នឹងចាត់ទុកការស្រាវជ្រាវរបស់អ្នកថាមានការអនុញ្ញាត ហើយនឹងសហការជាមួយអ្នកក្នុងការយល់ច្បាស់ និងដោះស្រាយបញ្ហានៅពេលវេលាដែលសមស្រប។
ព័ត៌មានរបស់អ្នកនឹងត្រូវបានរក្សាការសម្ងាត់ និងមិនចែកចាយទៅភាគីទីបី ដោយគ្មានការយល់ព្រមពីអ្នក។

ការទទួលស្គាល់

ទោះបី ACM មិនផ្តល់រង្វាន់ជាសាច់ប្រាក់ក៏ដោយ ACM យកចិត្តទុកដាក់ចំពោះការរួមចំណែករបស់អ្នក។ អ្នកស្រាវជ្រាវដែលដាក់ស្នើរបាយការណ៍ត្រឹមត្រូវតាម VDP នឹងទទួលបានការផ្តល់ជូនសម្ភារៈពិសេសពី ACM និង/ឬការទទួលស្គាល់ក្នុង Hall of Fame របស់យើង។

Share this

We use cookies

We use cookies to enhance your experience, analyze site traffic, and personalize content. By continuing to use our website, you agree to our use of cookies. For more information, please review our Cookie Policy.

Later
Accept