Правила проведения Внешних сканирований безопасности

Настоящий документ является неотъемлемой частью Договора на использование сервисов Платформы «Яндекс.Облако» (далее — «Договор»), заключаемого между Яндексом и Клиентом в терминологии Договора и документа, размещенного в сети «Интернет» по адресу: https://yandex.ru/legal/cloud_oferta — для резидентов Российской Федерации и https://yandex.com/legal/cloud_oferta_kz — для резидентов Республики Казахстан, и устанавливает порядок проведения Внешних сканирований безопасности Клиентом.

Все термины и определения, встречающиеся в тексте, толкуются в соответствии с Договором, действующим применимым законодательством и сложившимися в сети Интернет обычными правилами толкования соответствующих терминов.

Клиенты Яндекса, размещающие Контент в рамках Сервисов, указанных в настоящих Правилах проведения Внешних сканирований, могут проводить для него сканирования на уязвимости, тесты на проникновение, а также другие работы, направленные на поиск проблем работоспособности или подтверждение соответствия условий эксплуатации заранее определенным требованиям (далее – «Внешние сканирования»). Внешние сканирования безопасности могут проводиться Клиентом Платформы самостоятельно, либо с привлечением третьих лиц, за действия которых Клиент отвечает как за свои собственные.

Условия проведения Внешнего сканирования безопасности:

  • осуществление Внешнего сканирования безопасности может осуществляться только по заказу или силами Клиента с активным платежным аккаунтом;

  • Строго запрещается использовать любые инструменты таким образом, чтобы они выполняли:

    • DDoS-атаки L3\L4 или их имитацию,

    • TCP SYN Flood / UDP Flood / ICMP Flood / spoofed packet DDoS или симуляцию таковых,

    • Фрагментированный UDP / ICMP / TCP (Teardrop),

    • ICMP Smurf,

    • Усиление атак (усиление DNS/NTP / LDAP / memcached и т. д.);

  • Любое сканирование портов должно выполняться в неагрессивном режиме;

  • Запрещается получать доступ к среде или данным другого клиента или вырываться из любого контейнера (например, Виртуальной машины);

  • Тестирование не должно нарушать условий Договора, в соответствии с которым Клиент приобрел доступ к Платформе;

  • В случае непреднамеренного доступа компании-исполнителя теста к Контенту другого клиента, компания-исполнитель теста должна немедленно прекратить Тестирование и сообщить об этом Яндексу в течение одного часа;

Внешние сканирования могут осуществляться исключительно в отношении Контента, расположенного на Платформе в рамках следующих Сервисов:

  • Сервис Облачных Вычислений / Yandex Compute Cloud

  • Сервис Управления для PostgreSQL, ClickHouse, MySQL®, Redis™, MongoDB, Elasticsearch, Apache Kafka®, Yandex Database, Greenplum ®, Data Proc / Managed Service for PostgreSQL, ClickHouse, MySQL®, Redis™, MongoDB, Elasticsearch, Apache Kafka®, Yandex Database, Greenplum ®, Data Proc

  • Сервис Объектного хранилища / Yandex Object Storage

  • Сервис для управления API-шлюзами / Yandex API Gateway

  • Сервис для управления сетевыми балансировщиками нагрузки / Yandex Load Balancer

  • Сервис для управления балансировщиками нагрузки уровня приложения / Yandex Application Load Balancer

  • Сервис для организации сети распространения контента / Yandex Cloud CDN

  • Сервис Облачных Функций / Yandex Cloud Functions

  • Сервис транспортировки данных / Yandex Data Transfer

  • Сервис для управления образами контейнеров / Yandex Container Registry

  • Сервис Управления для Kubernetes® / Yandex Managed Service for Kubernetes®

  • Сервис для запуска контейнеров / Yandex Serverless Containers

Внешние сканирования ресурсов третьих лиц

Если вы являетесь Клиентом и поставщиком услуг по проведению сканирований и/или анализа защищенности с использованием Платформы, то для оказаниях таких услуг необходимо согласование заявленной активности с представителями Яндекса, а также согласование лица, в отношении Контента которого планируется осуществление Внешнего сканирования. Заявку необходимо отправить в службу поддержки Яндекса — cloud@support.yandex.ru не позднее чем за 2 (две) недели до даты начала Внешнего сканирования.

В сообщении необходимо указать:

  • описание видов деятельности и/или запланированных мероприятий;

  • идентификатор аккаунта и сервисы, которые планируете задействовать при проведении работ;

  • внешние IP адреса, с которых будут проводится работы;

  • временные периоды проведения работ;

  • контактную информацию, для оперативной связи, включая номер телефона.

    В течение 5 (пяти) рабочих дней с момента подачи заявки вы получите индивидуальный ответ по вашей заявки.

Если в ходе проведения Внешних сканирований Клиент или привлеченное им лицо сталкивается с какой-либо уязвимостью в любом из Сервисов, Клиент обязан незамедлительно связаться со службой поддержки - cloud@support.yandex.ru.

Если в процессе проведения Внешних сканирований Клиенту или лицу, осуществляющему Внешнее сканирование, стал доступен Контент Клиента или третьего лица — Клиент, а также привлеченное им лицо, обязаны незамедлительно связаться со службой поддержки — cloud@support.yandex.ru, а также прекратить доступ к такому Контенту.

Клиент и привлеченное им лицо, гарантируют, что не будут получать доступ к Контенту третьих лиц и использовать его каким-либо образом. В случае нарушения данной гарантии Клиент обязуется возместить все убытки Яндекса и третьего лица, к Контенту которого получен доступ, вызванные действиями Клиента.

Все дополнительные вопросы можно обсудить с технической поддержкой Платформы.

Внешнее сканирование безопасности осуществляется Клиентом целиком и полностью за свой счет, Яндекс не несет ответственности за возможное повреждение / потерю Контента Клиента, а также понесенный им ущерб в связи с Внешним сканированием безопасности.

Яндекс вправе без предварительного уведомления заблокировать аккаунт Клиента или виртуальную машину Клиента, с которой осуществляются действия, нарушающие настоящие Правила проведения Внешних сканирований безопасности.

Если в результате проведения Внешнего сканирование Яндексу предъявлены претензии или иные требования, Клиент, инициировавший проведение Внешнего сканирования, обязуется возместить Яндексу причиненные убытки, а также содействовать в урегулировании такого спора.

________________________________________

Адрес размещения в сети «Интернет» https://yandex.ru/legal/cloud_pentest

Дата опубликования: 08.04.2024 г.

Дата вступления в силу: 08.04.2024 г.

Предыдущая версия документа: https://yandex.ru/legal/cloud_pentest/08042024

Предыдущая версия документа: https://yandex.ru/legal/cloud_pentest/20062023

Предыдущая версия документа: https://yandex.ru/legal/cloud_pentest/04052020