Публичный договор-оферта по оказанию услуг поиска уязвимостей продуктов АО «ПФ «СКБ Контур» — СКБ Контур

Публичный договор-оферта по оказанию услуг поиска уязвимостей продуктов АО «ПФ «СКБ Контур»

pdf Договор
1,50 МБ

Екатеринбург

«22» декабря 2022 г.

1. Общие положения и основные термины

1.1. Заказчик — АО «ПФ «СКБ Контур» (ОГРН 1026605606620, адрес: ул. Народной Воли, 19а, Екатеринбург, 620144, телефон: 8 800 500-50-80, электронная почта: info@skbkontur.ru).

1.2. Исполнитель — гражданин Российской Федерации, достигший возраста 18 лет, обнаруживший уязвимость, признанную Заказчиком критичной, и заполнивший форму по адресу https://kontur.ru/about/security. Участниками не могут являться сотрудники Заказчика и/или аффилированных с ним компаний, авторы кода, в котором обнаружена уязвимость, а также члены семьи и близкие родственники указанных выше лиц.

1.3. Уязвимость — технический недостаток в продуктах Заказчика (https://kontur.ru/products), ставящий под угрозу вопросы безопасности, используя который возможно нарушить целостность, доступность или конфиденциальность пользовательской информации.

1.4. Направления поиска — принадлежащие Заказчику домены *.kontur.ru, *.skbkontur.ru., на которых размещена информация о продуктах Заказчика. 

1.5. В соответствии с пунктом 2 статьи 437 Гражданского кодекса Российской Федерации (далее — ГК РФ) данный документ является публичной офертой — предложением Заказчика любому лицу, соответствующему требованиям Исполнителя, заключить на ее условиях договор оказания услуг (далее — Договор). Оферта вступает в силу с момента ее размещения на сайте Заказчика www.kontur.ru  (далее — сайт) и действует до ее отзыва. Моментом полного и безоговорочного принятия предложения Заказчика заключить Договор (то есть акцептом оферты) в соответствии с пунктами 1 и 3 статьи 438 ГК РФ является заполнение Исполнителем формы. 

1.6. Заказчик вправе изменить или отозвать оферту в одностороннем порядке. Все изменения вступают в силу и считаются доведенными до сведения Исполнителя в момент размещения на сайте, если иной срок не указан Заказчиком при таком размещении. Уязвимости, выявленные и направленные Заказчику посредством заполнения формы до момента изменения или отзыва оферты, рассматриваются на условиях оферты, которая действовала на момент заполнения формы.

1.7. Договор, заключенный посредством акцепта настоящей оферты, регламентируется нормами гражданского законодательства о договоре присоединения (статья 428 ГК РФ), поскольку его условия определены Заказчиком в настоящей оферте и могут быть приняты любым лицом, указанным в п. 1.2 Договора, не иначе как путем присоединения к предложенному Договору в целом.

2. Предмет Договора

2.1. Заказчик поручает и обязуется оплатить, а Исполнитель принимает на себя обязательства оказать услугу по поиску уязвимостей продуктов Заказчика.

2.2. Заказчик не рассматривает и не принимает как уязвимости:

  • Сообщения от сканеров безопасности и других средств автоматического сканирования;
  • Сообщения без демонстрации реального существования уязвимости;
  • Сообщения без указания на достоверно возможные негативные последствия;
  • Сообщения об отсутствии заголовков безопасности;
  • Clickjacking отчеты, основанные на отсутствии HTTP заголовков. Для рассмотрения Clickjacking отчета необходимо предоставить валидный PoC и сценарий атаки с описанием негативных последствий от её реализации;
  • Сообщения об отсутствии лучших практик безопасности;
  • Атаки, требующие MITM или физический доступ к устройству пользователя;
  • Уязвимости, которые затрагивают только пользователей устаревших или уязвимых браузеров и платформ;
  • Уязвимости, которыми можно навредить только самому себе.

3. Размер вознаграждения и порядок оплаты

3.1. Размер вознаграждения зависит от критичности найденной уязвимости и определяется в соответствии со следующими тарифами:

Low Medium High Critical
3 500 — 7 000 ₽ 7 000 — 35 000 ₽ 35 000 — 70 000 ₽ 70 000 — 105 000 ₽

3.1.1. Заказчик оценивает каждую уязвимость в индивидуальном порядке с учетом международной системы оценки (Vulnerability Rating Taxonomy, или VRT, размещена по адресу https://bugcrowd.com/vulnerability-rating-taxonomy). Критичность уязвимости может быть понижена/повышена Заказчиком в зависимости от потенциального ущерба при реализации атаки и сложности эксплуатации уязвимости.

3.1.2. В течение 5 (пяти) рабочих дней с момента получения сообщения по результату оценки уязвимости Заказчик направляет Исполнителю на электронную почту, указанную при заполнении формы, одно из следующих заключений:

a) уязвимость не принята; 

b) дубликат известной нам уязвимости; 

c) новая для нас уязвимость с оценкой критичности.

Вознаграждение выплачивается только в случае заключения, предусмотренного пп. «с». 

3.1.3. В связи с тем, что Заказчик является налоговым агентом по отношению к Исполнителю, Заказчик удерживает из суммы вознаграждения и перечисляет в бюджет РФ налог на доходы физических лиц.

3.1.4. Стороны подписывают акт приемки оказанных услуг в порядке, предусмотренном пп. 4.1.4, 5.1.2 Договора, который является основанием для выплаты вознаграждения.

3.2. Заказчик имеет право по своему усмотрению вносить изменения в действующие тарифы.

3.3. Вознаграждение выплачивается только первому сообщившему о неизвестной ранее валидной уязвимости. Сообщение об уязвимости считается дубликатом, если исходное сообщение было получено раньше, чем дублирующее.
Различные вектора использования одной и той же уязвимости или похожих уязвимостей могут считаться дублирующими. 
Общедоступные 0-day или 1-day уязвимости могут рассматриваться как дубликаты, если они известны Заказчику из общедоступных источников.

3.4. Заказчик оплачивает 100% суммы вознаграждения с учетом п. 3.1.3 Договора в безналичном порядке на счет Исполнителя в течение 20 (двадцати) рабочих дней с момента подписания Сторонами акта приемки оказанных услуг при условии предоставления Исполнителем следующих документов: банковские реквизиты, копия паспорта, СНИЛС, ИНН.

4. Права и обязанности Заказчика

4.1. Заказчик обязуется:

4.1.1. Принять полученное от Исполнителя сообщение о выявленной уязвимости;

4.1.2. Оценить уязвимость в порядке, предусмотренном п. 3.1.1 Договора;

4.1.3.  По результатам оценки в пятидневный срок с момента получения сообщения от Исполнителя о выявленной уязвимости направить Исполнителю заключение в порядке, предусмотренном п. 3.1.2 Договора;

4.1.4. В тридцатидневный срок с момента получения от Исполнителя акта приемки оказанных услуг при отсутствии возражений подписать акт либо заявить мотивированный отказ от его подписания.

4.1.5. В случае признания уязвимости критичной (пп. «с» п. 3.1.2 Договора) выплатить Исполнителю вознаграждение. 

4.1.6. Обеспечить защиту персональных данных, полученных от Исполнителя, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

4.2. Заказчик имеет право:

4.2.1. Принимать решение о признании уязвимости критичной исключительно на свое субъективное усмотрение, не обосновывая свой вывод Исполнителю.

4.2.2. В любое время вносить изменения в настоящий Договор путем публикации на сайте его действующей редакции в полном объеме. Изменения к Договору вступают в силу с момента их публикации на сайте, если иной срок не указан Заказчиком при публикации изменений.

5. Права и обязанности Исполнителя

5.1. Исполнитель обязуется:

5.1.1. Осуществить поиск уязвимостей и направить сообщение Заказчику о выявленной уязвимости путем заполнения формы.

5.1.2. В случае признания Заказчиком уязвимости критичной, в пятидневный срок с момента получения от Заказчика заключения согласно п. 3.1.2 Договора предоставить Заказчику акт приемки оказанных услуг.

5.1.3. Следить за изменениями Договора, размещенными Заказчиком на сайте.

5.2. Исполнитель имеет право:

5.2.1. Получить заключение Исполнителя в соответствии с п. 3.1.2 Договора, не требуя при этом обоснования выводов от Заказчика.

6. Условия о конфиденциальности

6.1. Любая информация, касающаяся исполнения настоящего Договора, считается конфиденциальной и не подлежащей разглашению Сторонами. Стороны обязуются сохранять строгую конфиденциальность информации, полученной в ходе исполнения настоящего Договора, обязуются не разглашать сведения конфиденциального характера друг о друге, а также не использовать во вред друг другу информацию, полученную в рамках выполнения настоящего Договора. Предоставление конфиденциальной информации третьим лицам возможно только с согласия другой Стороны, а также в случае передачи информации государственным органам, имеющим право ее затребовать в соответствии с законодательством Российской Федерации.

7. Обработка персональных данных 

7.1. Исполнитель в момент акцепта настоящей оферты дает свое согласие Заказчику (именуемому далее — «Оператор») на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27 июля 2006 г. № 152-ФЗ  и Политикой обработки персональных данных СКБ Контур, расположенной по адресу https://kontur.ru/about/policy, на следующих условиях:

7.1.1. Исполнитель дает согласие на обработку Оператором своих персональных данных (как с использованием средств автоматизации, так и без использования таких средств), т.е. на совершение с ними следующих действий: их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение.

7.1.2. К персональным данным Исполнителя относятся сведения, указанные в форме регистрации (адрес электронной почты), а также иные персональные данные, направляемые Исполнителем Заказчику в рамках исполнения настоящего Договора (включая, но не ограничиваясь: фамилия, имя, отчество, ИНН, скан-копия документа, удостоверяющего личность, страховой номер индивидуального лицевого счёта, реквизиты счета, номер телефона). 

7.1.3. Согласие дается Исполнителем с целью обеспечения выполнения взаимных обязательств Исполнителя и Заказчика, предусмотренных настоящим Договором.

7.1.4. Согласие действует до момента окончания срока действия Договора, если отсутствуют иные правовые основания для продолжения обработки.

7.1.5. Персональные данные Исполнителя подлежат хранению в течение сроков, установленных законодательством РФ, после чего подлежат уничтожению.

7.1.6. Исполнитель может отозвать согласие путем направления письменного заявления об отзыве Оператору. В этом случае Оператор прекращает обработку персональных данных Исполнителя, а его персональные данные подлежат уничтожению, если отсутствуют иные правовые основания для обработки, установленные законодательством РФ.

8. Ответственность Сторон

8.1. Стороны несут ответственность за выполнение обязательств в рамках настоящего Договора в соответствии с действующим законодательством Российской Федерации.

9. Срок действия Договора

9.1. Договор вступает в силу с момента совершения Исполнителем акцепта его условий и до полного исполнения Сторонами обязательств по Договору.

10. Прочие условия

10.1. Документы, переданные и полученные по электронной почте, позволяющие достоверно установить, что они исходят от Стороны по Договору, имеют юридическую силу, допускаются в качестве письменных доказательств и обязательны к исполнению Сторонами. Сторона, направившая факсимильную (сканированную) копию документа, обязана направить оригинал документа другой Стороне не позднее 5 (пяти) дней с момента направления копии. Вышеизложенные в настоящем пункте Договора условия являются соглашением Сторон об использовании простой электронной подписи. При наличии технической возможности Стороны вправе подписывать и осуществлять обмен документами с использованием систем электронного документооборота, при этом Стороны договорились, что действие такого документа будет распространяться на отношения Сторон, возникшие с даты составления такого документа.

10.2. Споры и разногласия, возникающие в процессе исполнения Договора, разрешаются с соблюдением досудебного порядка разрешения споров и разногласий. Срок ответа на претензию — 10 рабочих дней. Споры, не урегулированные путем переговоров, передаются на рассмотрение суда в порядке, предусмотренном действующим законодательством Российской Федерации, по месту нахождения Заказчика.

11. Реквизиты Заказчика

АО «ПФ «СКБ Контур», 620144, Екатеринбург, ул. Народной Воли, стр. 19а 

ИНН 6663003127 КПП 997750001

р/с № 40702810138030000017 в филиале «Екатеринбургский» АО «Альфа-Банк»

к/с № 30101810100000000964 БИК 046577964

Генеральный директор АО «ПФ «СКБ Контур»

М.Ю. Сродных