Қауіпсіздікті тексеру шарты

1. Тараптар

Орындаушы: ЖК / ЖШС «1CYBER», ________________________________________ атынан, ________________________________________ негізінде әрекет ететін,

Тапсырыс беруші: ________________________________________, ________________________________________ атынан, ________________________________________ негізінде әрекет ететін,

бірлесіп «Тараптар» деп аталатын, төмендегі туралы осы Шартты жасасты:

2. Шарттың мәні

2.1. Тапсырыс беруші тапсырма береді, ал Орындаушы Тапсырыс берушінің ақпараттық ресурстарының қауіпсіздік жүйесіндегі осалдықтарды анықтау мақсатында ену тестін (пентест) жүргізу және қорғалу деңгейін талдау бойынша міндеттемелерді қабылдайды.

2.2. Тапсырыс беруші 4-тармақта көрсетілген ақпараттық ресурстардың заңды иесі (немесе иесінің уәкілетті өкілі) екенін растайды және тестілеуге рұқсат беруге толық құқығы бар.

2.3. Осы шарт Тапсырыс берушінің келісілген жұмыс көлемі шеңберінде қауіпсіздік тестін жүргізуге жазбаша рұқсаты (авторизациясы) болып табылады.

3. Құпиялылық (NDA)

3.1. Тараптар осы Шартты орындауға байланысты алынған құпия ақпаратты жарияламауға міндеттенеді, оның ішінде, бірақ мұнымен шектелмей:

• — Табылған осалдықтар мен тестілеу нәтижелері
• — Тапсырыс берушінің ішкі деректері, құжаттары мен жүйелері
• — Екі Тараптың коммерциялық құпиясы мен ноу-хау
• — Осы Шарттың талаптары мен мазмұны
• — Тапсырыс берушінің қызметкерлері мен клиенттерінің жеке деректері

3.2. Тестілеу нәтижелері туралы есеп тек Тапсырыс берушіге немесе оның уәкілетті тұлғаларына беріледі.

3.3. Құпиялылық міндеттемелері осы Шарт бойынша жұмыстар аяқталғаннан кейін мерзімсіз қолданылады.

3.4. Құпиялылық міндеттемелерін бұзғаны үшін кінәлі Тарап Біріккен Араб Әмірліктерінің заңнамасына сәйкес жауапты болады.

4. Тестілеу объектілері (Scope)

4.1. Тапсырыс берушінің келесі ресурстары тестілеуге жатады:

4.2. Көрсетілген объектілерден тыс тестілеу қатаң тыйым салынған.

5. Тестілеуге авторизация (Authorization to Test)

5.1. Осы бөлім 4-тармақта көрсетілген ресурстарды қауіпсіздік тестілеуін жүргізуге Тапсырыс берушінің ресми жазбаша рұқсаты болып табылады.

5.2. Тапсырыс беруші осындай рұқсатты беруге толық өкілеттігі бар екенін растайды.

5.3. Тапсырыс беруші келісілген жұмыс көлемі шеңберінде және осы Шарттың қолданылу кезеңінде жасалған әрекеттер үшін Орындаушыны жауапкершілікке тартпауға (safe harbor) міндеттенеді.

5.4. Тестілеу кезеңі: «____» ______________ 20___ ж. бастап «____» ______________ 20___ ж. дейін.

6. Рұқсат етілген әрекеттер

Орындаушыға жұмыстардың келесі түрлерін жүргізуге рұқсат етіледі:

• — Инфрақұрылым туралы ақпарат жинау (барлау)
• — Белгілі осалдықтарға автоматты сканерлеу
• — Қолмен ену тестін жүргізу
• — Бастапқы код пен конфигурацияларды талдау (қолжетімділік берілген жағдайда)
• — Мобильді қосымшаларды (APK/IPA) талдау: декомпиляция, трафикті талдау, API тексеру
• — Аутентификация және авторизация механизмдерін тексеру
• — API-эндпоинттерді тестілеу
• — Серверлер мен сервистердің конфигурациясын тексеру

7. Тыйым салынған әрекеттер

Орындаушыға тыйым салынады:

• — «Қызмет көрсетуден бас тарту» (DDoS/DoS) шабуылдарын жүргізу
• — Тапсырыс берушінің сервистерінің жұмысын әдейі бұзу
• — Тапсырыс берушінің деректерін жою немесе өзгерту (тестілік деректерден басқа)
• — Табылған осалдықтарды үшінші тұлғаларға тарату
• — Табылған осалдықтарды жеке мақсатта пайдалану
• — Осы Шарттың 4-тармағында көрсетілмеген ресурстарды тестілеу
• — Тапсырыс берушінің қызметкерлеріне қатысты әлеуметтік инженерия (жеке келісілмесе)

8. Тараптардың міндеттемелері

Орындаушы міндеттенеді:

• — Тестілеуді тек келісілген шеңберде жүргізу
• — Тапсырыс берушінің жүйелерінің жұмысына әсерді барынша азайту
• — Әр осалдық үшін proof-of-concept (PoC) бар толық есеп беру
• — Алынған барлық ақпараттың құпиялылығын сақтау
• — Маңызды осалдықтар табылған жағдайда Тапсырыс берушіге дереу хабарлау

Тапсырыс беруші міндеттенеді:

• — Тестілеуді жүргізу үшін қажетті қолжетімділік пен ақпаратты беру
• — Жедел байланыс үшін байланыс тұлғасын тағайындау
• — 14 күн ішінде берілген PoC-ты тексеру және қабылдау актісіне қол қою
• — Акт қол қойылғаннан кейін 30 күн ішінде Орындаушының қызметтеріне ақы төлеу
• — Келісілген жұмыс көлемі шеңберінде жасалған әрекеттер үшін Орындаушыны жауапкершілікке тартпау

9. Құны және төлем тәртібі

9.1. Жұмыстардың құны келесі тарифтердің бірі бойынша анықталады:

• — ПЕНТЕСТ (бір реттік жұмыс): $20,000-нан
• — ҚАУІПСІЗДІК СЕРІКТЕСІ (12 айлық жазылым): $10,000/айдан

9.2. Соңғы құн жұмыс көлеміне байланысты болып, Тараптардың жеке келісімімен бекітіледі.

9.3. Төлем USD немесе шот-фактура жасалған күнгі бағам бойынша AED/KZT/RUB эквивалентінде.

9.4. Төлем мерзімі: қабылдау актісіне қол қойылған сәттен бастап 30 күнтізбелік күн.

9.5. Өзге төлем тәртібі (бар болса): ________________________________________.

10. Есептілік және қабылдау

10.1. Тестілеу аяқталғаннан кейін Орындаушы Тапсырыс берушіге мынадай есепті ұсынады:

• — Табылған әр осалдықтың сипаттамасы
• — CVSS 3.1 бойынша қауіптілік деңгейі
• — Әр осалдық үшін жұмыс істейтін proof-of-concept (PoC)
• — Жою бойынша ұсыныстар

10.2. Тапсырыс беруші 14 күн ішінде PoC-ты тексеріп, қабылдау актісіне қол қояды.

10.3. Келіспеушіліктер болған жағдайда Тараптар бірлескен верификация жүргізеді.

11. Жауапкершілік

11.1. Орындаушы келісілген жұмыс көлемінен шығу кезінде қасақана немесе өрескел абайсыздық салдарынан келтірілген зиян үшін жауапты.

11.2. Тапсырыс беруші осы Шарт пен келісілген жұмыс көлемі шеңберінде жасалған әрекеттер үшін Орындаушыны жауапкершіліктен босатады (safe harbor).

11.3. Тараптар тестілеудің Тапсырыс берушінің ақпараттық жүйелерінің қауіпсіздігін арттыру мақсатында жүргізілетінін және зиян келтіруге бағытталмағанын растайды.

12. Қорытынды ережелер

12.1. Осы Шарт екі Тарап қол қойған сәттен бастап күшіне енеді.

12.2. Барлық даулар келіссөздер арқылы шешіледі, ал келісімге қол жеткізілмеген жағдайда — Орындаушының тұрған жеріндегі сотта.

12.3. Шарт бірдей заңды күші бар екі данада жасалған, әрбір Тарапқа біреуден.