Quy định "Kiểm tra bảo mật"
- Để tạo điều kiện hỗ trợ các thành viên có nhu cầu kiểm tra bảo mật cho hệ thống website của mình;
- Để công tác kiểm tra bảo mật được hiệu quả và tránh những sự cố về kỹ thuật và pháp lý;
- Để có nhóm kiểm tra bảo mật HVA có thể sắp xếp thời gian và nhân lực cho công tác kiểm tra một cách hợp lý;
mọi thỉnh cầu kiểm tra bảo mật cần thoả mãn những quy định sau:
I. Quy định gởi thỉnh cầu:
1. Người gởi thỉnh cầu phải chứng minh chủ quyền hệ thống hoặc trang web bằng cách tạo một trang HTML xác nhận chủ quyền và xác nhận ủy quyền nhóm kiểm tra bảo mật của HVA thực hiện các bước kiểm tra. Trang xác nhận chủ quyền cần có một dòng tương tự như sau:
Tôi xác nhận chủ quyền trang web:
http://<xyz>. Tôi, <nick trên HVA> đã tham khảo quy định kiểm tra bảo mật của HVA và xin uỷ quyền nhóm kiểm tra bảo mật HVA kiểm tra trang web này.
2. Các trang web được tạo trên những host cung cấp miễn phí (free hosting) sẽ không được kiểm tra vì chủ nhân các trang web này hoàn toàn không có khả năng điều chỉnh hệ thống để kiện toàn bảo mật.
3. Các trang web được tạo tại tư gia (self hosting) xuyên qua ADSL hoặc cable sẽ không được kiểm tra nếu như trang web này không bảo đảm online 24/24. Nếu thành viên nhóm kiểm tra không thể truy cập trang web này sau 3 lần thử nghiệm, thỉnh cầu kiểm tra bảo mật này sẽ bị huỷ bỏ.
4. Các trang web được tạo trên những host cung cấp thương mại (share hosting) sẽ được kiểm tra ở giới hạn dịch vụ web. Những lỗ hổng bảo mật trên tầng máy chủ có thể sẽ được thông báo (nếu cần thiết và nếu lỗ hổng này liên quan trực tiếp đến bảo mật của trang web).
5. Các trang web và diễn đàn dùng những phần mềm tiêu chuẩn như phpVB, vBB, IPB... sẽ không được kiểm tra nếu chúng dùng phiên bản tiêu chuẩn. Chủ nhân của các diễn đàn này nên tự cập nhật bản vá cho mình. HVA chỉ kiểm tra những forum có những mod được thêm vào và không thuộc phiên bản tiêu chuẩn. Trong trường hợp này, chủ nhân của diễn đàn phải thông báo chính xác các mod đã được thêm vào.
6. Các trang web và diễn đàn đang ở trong tình trạng đang phát triển (đang coding, developing...) sẽ không được kiểm tra. HVA không thể cung cấp nhân lực và thời gian cho việc hỗ trợ phát triển một hệ thống phần mềm.
7. Các trang web và forum có nội dung thiếu lành mạnh, không thích hợp với thuần phong mỹ tục, mang tính phá hoại hoặc mang những hoạt động bất hợp pháp sẽ không được kiểm tra.
II. Quyền lợi của người gởi thỉnh cầu:
1. Người gởi thỉnh cầu có quyền rút thỉnh cầu bất cứ lúc nào bằng cách gởi một thông báo trên chủ đề đã được mở ra khi đăng thỉnh cầu.
2. Người gởi thỉnh cầu có quyền gởi thông điệp "cá nhân" đến một trong các thánh viên nhóm kiểm tra bảo mật HVA nếu không muốn công bố địa chỉ trang web trên diễn đàn. Tuy nhiên, chủ nhân trang web này phải chứng minh được sự hữu lý và cần thiết trước khi gởi thỉnh cầu. Những thỉnh cầu không được đăng chính thức trên diễn đàn (mà chỉ trao đổi qua "PM" sẽ không có giá trị.
3. Người gởi thỉnh cầu có quyền đề nghị nhóm kiểm tra bảo mật HVA giữ kín thông tin bảo mật về trang web đã được kiểm tra.
4. Người gởi thỉnh cầu có quyền đề nghị nhóm kiểm tra bảo mật cung cấp giải pháp khắc phục. Tuy nhiên, việc đáp ứng đề nghị này hay không là do nhóm kiểm tra bảo mật HVA quyết định.
5. Người gởi thỉnh cầu có quyền đề nghị nhóm kiểm tra tái kiểm tra nếu đề nghị này hữu lý và xác thực.
6. Người gởi thỉnh cầu có quyền tiếp nhận những đề nghị và giải pháp kiện toàn từ những thành viên không thuộc nhóm kiểm tra bảo mật HVA. Tuy nhiên, người gởi thỉnh cầu hoàn toàn chịu trách nhiệm cho việc tiếp nhận này.
III. Phạm vi trách nhiệm và quyền hạn của nhóm kiểm tra bảo mật HVA:
1. Nhóm kiểm tra bảo mật HVA có trọn quyền quyết định tiếp nhận hoặc từ chối kiểm tra. Thông tin tiếp nhận hoặc từ chối sẽ được một trong các thành viên nhóm kiểm tra bảo mật trả lời trong chủ đề thỉnh cầu kiểm tra.
2. Nhóm kiểm tra bảo mật HVA có quyền công bố những lỗi bảo mật tìm thấy trong quá trình kiểm tra nhưng sẽ không công bố cụ thể những trang web nào đang bị lỗi nhằm hạn chế những tổn hại có thể xảy ra.
3. Nhóm kiểm tra bảo mật HVA có quyền không công bố những lỗi bảo mật tìm thấy trong quá trình kiểm tra vì lý do bảo mật hoặc tính tế nhị của sự việc.
4. Nhóm kiểm tra bảo mật HVA có quyền quyết định đề nghị giải pháp khắc phục hoặc không tùy theo trường hợp. Nhóm kiểm tra bảo mật HVA không có trách nhiệm hình thành một giải pháp khắc phục sau khi kiểm tra.
5. Nhóm kiểm tra bảo mật HVA không chịu trách nhiệm cho bất cứ tổn thất nào xảy ra trong quá trình kiểm tra.
Công tác kiểm tra bảo mật của HVA hoàn toàn thiện nguyện nhằm đóng góp vào việc nâng cao bảo mật hệ thống của những thành viên có nhu cầu và cộng đồng. Bởi thế, xin vui lòng đọc kỹ và thực hiện đúng các quy định trên trước khi gởi thỉnh cầu kiểm tra bảo mật.
Nhóm kiểm tra bảo mật HVA.