سیاست افشای مسئولانه

۱. کانال گزارش

• • ایمیل: security@iranclaud.ir
• • فرم تماس: /contact (در subject بنویسید: «گزارش امنیتی»)
• • PGP key: بنا به درخواست — در email request کنید

۲. چارچوب زمانی پاسخ

• • تأیید دریافت: ۲۴ ساعت کاری
• • تخمین اولیه از شدت: ۷۲ ساعت کاری
• • اطلاع‌رسانی از وضعیت reproduction + plan رفع: ۷ روز کاری
• • رفع نهایی + اعلان عمومی: ۹۰ روز (یا earlier برای critical-severity)

۳. Scope (دامنه)

آسیب‌پذیری‌های این دامنه‌ها مورد بررسی قرار می‌گیرند:

• • iranclaud.ir + همه subdomain‌ها
• • panel.iranclaud.com
• • mirror.iranclaud.ir
• • سرورهای customer (در صورت موافقت کتبی صاحب VM)

۴. خارج از Scope

• • اعتباری/برندی: phishing لینک‌ها، typo squatting، social engineering تنها (بدون technical exploit)
• • Best-practice issues بدون security impact (مثلاً missing security-header وقتی workaround موجود است)
• • DoS/DDoS: لطفاً نکنید — نیاز به authorization جداگانه قبل از تست
• • سرورهای third-party در سرور customer (مثلاً WordPress plugin‌های آسیب‌پذیر)

۵. اقدامات مجاز

• • تست authentication، authorization، input-validation، CSRF، XSS، SQLi
• • Reverse-engineering JS bundle شده برای understanding
• • استفاده از account خودتان (یا یک test-account)

۶. اقدامات ممنوع

• • خواندن، تغییر، یا حذف data کاربران دیگر (proof-of-concept با account خودتان)
• • DoS، load-testing، brute-force بدون پیش-مکاتبه
• • اقدامات destructive (حذف، تخریب، crash production service)
• • Public disclosure قبل از 90 days بدون موافقت ما (مگر critical-severity unfixed)

۷. سپاسگزاری

تمام گزارش‌های معتبر (در صورت تمایل گزارش‌دهنده) با نام محقق در changelog سرویس ذکر می‌شوند. برای critical findings ما به‌صورت مورد-به-مورد پاداش نقدی یا اعتبار سرویس ارائه می‌دهیم؛ جزئیات از طریق security@iranclaud.ir هماهنگ می‌شود.