Перейти к содержимому
← На главную

Политика ответственного раскрытия уязвимостей

Responsible Disclosure Policy — TenderPulse

Последнее обновление: 10 мая 2026 г.

Как сообщить об уязвимости

Если вы обнаружили уязвимость безопасности в TenderPulse, сообщите нам об этом по адресу:

security@pulsetender.ru

Пишите на русском или английском языке. Постарайтесь включить в письмо:

  • описание уязвимости и потенциального воздействия;
  • шаги для воспроизведения (proof of concept), если возможно;
  • затронутый URL или компонент;
  • ваши контактные данные для обратной связи (опционально — принимаем анонимные отчёты).

Что вы можете ожидать от нас

Подтверждение

Мы подтвердим получение вашего отчёта в течение 72 часов с момента поступления письма.

Оценка

В течение 7 рабочих дней сообщим нашу первоначальную оценку: подтверждена ли уязвимость и насколько критична.

Устранение

Стараемся устранить критические уязвимости в течение 30 дней. Для менее критичных — в течение 90 дней. Если эти сроки не выполнимы — сообщим вам и согласуем реалистичный срок.

Уведомление

После устранения уведомим вас. Если вы хотите публично раскрыть уязвимость — пожалуйста, дождитесь нашего подтверждения факта устранения.

Область применения (Scope)

В области применения:

  • pulsetender.ru и все поддомены (*.pulsetender.ru)
  • API (сейчас на pulsetender.ru/api/*; в будущем — api.pulsetender.ru при выпуске)
  • Мобильные приложения TenderPulse (если появятся)

Вне области применения:

  • Сторонние сервисы (Anthropic, RuVDS, ЮKassa, Yandex, sms.ru, Tavily, DaData) — сообщайте об их уязвимостях напрямую соответствующим компаниям.
  • Атаки типа «отказ в обслуживании» (DoS/DDoS) — просим не тестировать их против нашей инфраструктуры.
  • Физический доступ к инфраструктуре.
  • Социальная инженерия против сотрудников или пользователей.
  • Уязвимости в браузерах или системах пользователей, не связанные с нашим кодом.

Safe Harbor (защитная оговорка)

Если вы добросовестно исследуете уязвимости и соблюдаете настоящую Политику, мы не будем инициировать судебное преследование в связи с вашей исследовательской деятельностью. Мы рассматриваем такую деятельность как ценный вклад в безопасность Сервиса.

Под «добросовестным исследованием» мы понимаем:

  • не использование уязвимости за рамками минимально необходимого для её подтверждения;
  • не получение доступа к данным других пользователей и не их модификацию;
  • немедленное сообщение нам после обнаружения (а не эксплуатацию);
  • не нарушение работоспособности Сервиса (DoS).

Программа вознаграждений (Bug Bounty)

На данный момент программа денежного вознаграждения за найденные уязвимости не действует. Мы честно признаём вклад исследователей в разделе благодарностей (когда он появится) и рассматриваем возможность запуска формальной bug bounty программы в будущем.

English summary

To report a security vulnerability in TenderPulse, email security@pulsetender.ru. We will acknowledge within 72 hours and aim to resolve critical issues within 30 days. We will not pursue legal action for good-faith research that follows this policy. Scope: pulsetender.ru, api.pulsetender.ru. Out of scope: third-party services. No bug bounty at this time.

Контакт по вопросам безопасности: security@pulsetender.ru

Cookies и персональные данные

Мы используем cookies для работы авторизации и сохранения настроек. Дополнительно — обезличенная аналитика использования. Подробнее в политике конфиденциальности.