Правила проведения Внешних сканирований безопасности

Настоящий документ является неотъемлемой частью Договора на использование сервисов Платформы «Яндекс.Облако» (далее — «Договор»), заключаемого между Яндексом и Клиентом в терминологии Договора и документа, размещенного в сети «Интернет» по адресу: https://yandex.ru/legal/cloud_oferta - для резидентов Российской Федерации и https://yandex.com/legal/cloud_oferta_kz - для резидентов Республики Казахстан, и устанавливает порядок проведения Внешних сканирований безопасности Клиентом.

Все термины и определения, встречающиеся в тексте, толкуются в соответствии с Договором, действующим применимым законодательством и сложившимися в сети Интернет обычными правилами толкования соответствующих терминов.

Клиенты Яндекса, размещающие на Платформе собственное программное обеспечение, могут проводить для него Внешние сканирования безопасности. Внешнее сканирования безопасности может проводиться Клиентом Платформы самостоятельно, либо с привлечением подрядчиков, за действия которых Клиент остается ответственным как за свои собственные.

Условия проведения Внешнего сканирования безопасности:

  • осуществление Внешнего сканирования безопасности (далее – Тестирования) может осуществляться только по заказу или силами Клиента с активным платежным аккаунтом;
  • Тестирование не должно быть нацелено на какие-либо другие ресурсы других клиентов Яндекса или любые общие компоненты инфраструктуры Платформы;
  • Строго запрещается использовать любые инструменты таким образом, чтобы они выполняли:
    • DDoS-атаки L3\L4 или их имитацию,
    • TCP SYN Flood / UDP Flood / ICMP Flood / spoofed packet DDoS или симуляцию таковых,
    • Фрагментированный UDP / ICMP / TCP (Teardrop),
    • ICMP Smurf,
    • Усиление атак (усиление DNS/NTP / LDAP / memcached и т. д.);
  • Любое сканирование портов должно выполняться в неагрессивном режиме;
  • Запрещается получать доступ к среде или данным другого клиента или вырываться из любого контейнера (например, Виртуальной машины);
  • Тестирование не должно нарушать условий Договора, в соответствии с которым Клиент приобрел доступ к Платформе;
  • Если компания-исполнитель теста или Клиент считают, что обнаружили потенциальную проблему безопасности, связанную с Платформой, Клиент должен сообщить об этом в техническую поддержку в течение 24 часов;
  • В случае непреднамеренного доступа компании-исполнителя теста к Контенту другого клиента, компания-исполнитель теста должна немедленно прекратить Тестирование и сообщить об этом Яндексу в течение одного часа;
  • Клиент несет ответственность за любой ущерб, нанесенный Яндексу или другому клиенту Платформы, который вызван Тестированием из-за несоблюдения этих правил или положений Договора.

Все дополнительные вопросы можно обсудить с технической поддержкой Платформы.

Внешнее сканирование безопасности осуществляется Клиентом целиком и полностью за свой счет, Яндекс не несет ответственности за возможное повреждение / потерю Контента Клиента в связи с Внешним сканированием безопасности.

ООО «Яндекс.Облако» (ОГРН: 1187746678580) / ТОО «Яндекс.Облако Казахстан» (БИН: 210140006471)

Адрес размещения в сети «Интернет» https://yandex.ru/legal/cloud_pentest

Дата размещения: 24 апреля 2020 г.

Дата вступления в силу: 04 мая 2020 г.