برنامج الإبلاغ عن الثغرات وسياسة المكافآت الأمنية (بوابة إصدار رقم UICS/ICN) Vulnerability Disclosure & Bug Bounty Policy (UICS/ICN Issuance Portal)
1) التعريفات والنطاق1) Definitions & Scope
يغطي هذا البرنامج الثغرات الأمنية القابلة للاستغلال عمليًا في الأنظمة التابعة لـ «بوابة إصدار رقم UICS/ICN» بهدف تحسين الأمان العام. لا يُعد البرنامج عقدًا؛ المكافآت تقديرية.
This program covers practically exploitable security vulnerabilities in systems owned by the UICS/ICN Issuance Portal to improve overall security. The program is not a contract; rewards are discretionary.
2) الأصول ضمن النطاق2) In-Scope Assets
- النطاقات:
*.uics.onlineبما في ذلك:do.uics.online(بوابة الإصدار)verify.uics.online(التحقق من الصلاحية)api.uics.online(واجهات API العامة)
- تطبيقات الجوال الرسمية إن وُجدت والمعلنة في هذه الصفحة لاحقًا.
- بيئات الاختبار/الـSandbox التي نزوّدك بها صراحة.
- Domains:
*.uics.onlineincluding:do.uics.online(Issuance portal)verify.uics.online(Validity verification)api.uics.online(public APIs)
- Official mobile apps (if/when listed here).
- Test/Sandbox environments explicitly provisioned to you.
ملاحظة: النطاقات الفرعية التي يديرها طرف ثالث أو استضافة جهات أخرى قد تكون خارج النطاق ما لم يُذكر خلاف ذلك.
Note: Third-party hosted subdomains may be out of scope unless explicitly stated otherwise.
3) خارج النطاق3) Out of Scope
- هجمات حجب الخدمة (DoS/DDoS) أو تدهور الأداء المتعمد.
- الهندسة الاجتماعية أو الاحتيال أو التصيّد.
- المسح الآلي العنيف الذي يؤثر على التوافر.
- قضايا التكوين منخفضة الأثر دون إمكانية استغلال واضحة.
- ثغرات الطرف الثالث خارج سيطرتنا (مزودو الدفع/الاستضافة/المحتوى).
- اكتشافات بدون دليل مفاهيمي أو بدون أثر أمني.
- DoS/DDoS or intentional service degradation.
- Social engineering, fraud, or phishing.
- Aggressive automated scanning impacting availability.
- Low-impact misconfigurations without a clear exploit path.
- Third-party vulnerabilities beyond our control (payments/hosting/CDN).
- Purely theoretical issues without a working proof-of-concept.
4) قواعد الاختبار المسؤول4) Responsible Testing Rules
- عدم الوصول أو تعديل بيانات أي مستخدم فعلي. استخدم حسابات اختبار/بيانات صناعية.
- الحد الأدنى من تأثير الأداء. توقف فور ملاحظة أثر سلبي.
- لا استخراج جماعي للبيانات ولا تجاوز لحدود المعدل.
- لا محاولة للوصول المادي أو إلى موظفين أو مورّدين عبر الهندسة الاجتماعية.
- أبلغ فورًا إذا وقع كشف غير مقصود لبيانات، ثم احذفها بأمان بعد التعليمات.
- Do not access or modify real user data. Use test accounts/synthetic data.
- Minimize performance impact; cease testing if adverse effects occur.
- No bulk data exfiltration and no rate-limit bypass abuse.
- No physical access attempts or social engineering of staff/vendors.
- Immediately report any accidental data exposure; securely delete after guidance.
5) المأوى القانوني5) Legal Safe Harbor
طالما التزمت بهذه السياسة وبنطاقها وقواعدها، لن نباشر إجراءات قانونية ضدك بسبب أبحاث أمنية بحسن نية، ولن نرفع دعاوى لدى جهات خارجية بشأن أفعال البحث المشروعة ضمن النطاق.
So long as you act in good faith within this policy’s scope and rules, we will not pursue legal action for your security research and will not escalate to third parties for legitimate in-scope activities.
استثناء: لا يغطي المأوى أي نشاط يتضمّن احتيالًا، ابتزازًا، أذى متعمّدًا، أو انتهاكًا صريحًا للخصوصية.
Exclusions: Safe harbor does not cover fraud, extortion, intentional harm, or clear privacy violations.
6) كيفية الإبلاغ والتشفير6) How to Report & Encryption
- القناة المفضلة: نموذج الإبلاغ عن ثغرة.
- بديل البريد: security@uics.online مع تشفير PGP عند الإمكان.
- تضمين: الأثر، خطوات إعادة الإنتاج، النطاق المتأثر، لقطات/أدلة، تقليل الأثر.
- Preferred channel: Vulnerability Report Form.
- Email alternative: security@uics.online with PGP where possible.
- Include: impact, repro steps, affected scope, screenshots/evidence, and mitigation ideas.
PGP Public Key (ASCII-armored)
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP [Placeholder-Key-Will-Be-Published-Here] -----END PGP PUBLIC KEY BLOCK-----
مفتاح PGP العام (مكان مخصّص)
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP [سيُنشر المفتاح هنا] -----END PGP PUBLIC KEY BLOCK-----
7) أطر التعامل الزمني7) Handling SLAs
| المرحلة | الهدف |
|---|---|
| تأكيد الاستلام | ≤ 2 يوم عمل |
| الفرز (Triage) | ≤ 7 أيام عمل |
| قرار الشدة/الأهلية | ≤ 14 يوم عمل |
| السداد/المكافأة (إن وُجد) | ≤ 30 يومًا من القرار أو بعد الإصلاح وفق ما يُعلن |
| Stage | Target |
|---|---|
| Acknowledgement | ≤ 2 business days |
| Triage | ≤ 7 business days |
| Severity/Eligibility decision | ≤ 14 business days |
| Payout (if any) | ≤ 30 days from decision or post-fix as announced |
8) تصنيف الشدة8) Severity Classification
نستخدم نموذج شدة مستوحى من CVSS (v3.x) مع مراعاة السياق. قد تُعدَّل الشدة بناءً على إمكانية الاستغلال والانتشار وتأثير الخصوصية.
We use a CVSS-inspired model (v3.x) adjusted for context. Severity may be tuned by exploitability, blast radius, and privacy impact.
| المستوى | وصف موجز |
|---|---|
| حرجة | تنفيذ أوامر/استيلاء كامل أو كشف شامل للبيانات الحساسة. |
| عالية | تجاوز صلاحيات/حقن/تسريب بيانات مهم لمجموعة محدودة. |
| متوسطة | قضايا تأثيرها محدود أو تتطلب شروطًا خاصة. |
| منخفضة/إعلامية | أفضل ممارسات أو تسريبات غير حساسة دون استغلال عملي. |
| Level | Brief Description |
|---|---|
| Critical | RCE/full takeover or broad exposure of sensitive data. |
| High | Privilege escalation/injection/significant data leak for a subset. |
| Medium | Constrained impact or requiring special conditions. |
| Low/Info | Best-practice gaps or non-sensitive disclosures without practical exploit. |
9) المكافآت والأهلية9) Rewards & Eligibility
| الشدة | النطاق الإرشادي (USD أو ما يعادلها) | ملاحظات |
|---|---|---|
| حرجة | 2,000 – 5,000 | مكافأة جودة إضافية حتى +20% لتقارير كاملة مع PoC وأثر واضح. |
| عالية | 1,000 – 3,000 | قد تُرفع على ضوء الانتشار. |
| متوسطة | 300 – 1,000 | تختلف بحسب الأثر وسهولة الاستغلال. |
| منخفضة | 100 – 200 | قد تُمنح «شكر» فقط. |
| إعلامية | — | إدراج في لوحة الشكر دون مكافأة مالية عادة. |
| Severity | Indicative Range (USD or equivalent) | Notes |
|---|---|---|
| Critical | 2,000 – 5,000 | Quality bonus up to +20% for complete PoC and clear impact. |
| High | 1,000 – 3,000 | May increase based on blast radius. |
| Medium | 300 – 1,000 | Varies by impact and exploitability. |
| Low | 100 – 200 | May receive kudos only. |
| Informational | — | Hall of Fame mention only, typically. |
- الأهلية: أول مُبلّغ مؤهل، دليل مفاهيمي صالح، التقيّد بالسياسة، هوية دفع وكفاءة ضريبية/امتثال حسب المنطقة.
- طريقة السداد: قنوات دفع معتمدة وفق إرشادات مدفوعات المكافآت.
- Eligibility: first valid reporter, working PoC, policy-compliant behavior, payout KYC/tax compliance as required.
- Payout methods: supported rails per Bounty Payments Guidelines.
10) التكرارات، الجذر المشترك، المكافآت الصفرية10) Duplicates, Root-Cause & Zero-bounties
- التقرير الأول المؤهّل يحصل على الأولوية. تُدمَج التقارير اللاحقة كـ «مكرّرة».
- قد نُكافئ الجذر المشترك لمجموعة قضايا بمكافأة واحدة.
- بدون مكافأة: قضايا خارج النطاق، دون أثر، أو ناتجة عن إساءة اختبار.
- First valid report wins; later ones are marked as duplicates.
- We may reward a single bounty for a root-cause class of issues.
- No bounty for out-of-scope, non-impactful, or policy-violating tests.
11) خصوصية البيانات والتعامل مع العينات11) Data Privacy & Sample Handling
لا تُخزّن بيانات حقيقية. استخدم عينات مُصطنعة. عند الاطلاع العرضي على بيانات، لا تنسخ/تشارك، وأبلغ فورًا، واحذف بأمان بعد توجيهنا. تسري سياسة الخصوصية.
Do not store real data. Use synthetic samples. If you accidentally access data, do not copy/share; notify us immediately and securely delete after guidance. The Privacy Policy applies.
12) أطراف ثالثة ومورّدون12) Third-Party Vendors
لا تُختبر أصول المورّدين دون إذن مكتوب. إذا بدا أن الأثر في خدمة طرف ثالث، سنُنسّق الإخطار حيث أمكن.
Do not test vendor assets without written permission. If impact appears in a third-party service, we will coordinate disclosure where feasible.
13) لوحة الشكر والاستئناف13) Hall of Fame & Appeals
- نذكر المساهمين في لوحة الشكر عند رغبتهم.
- تسلّم الاستئنافات بخصوص الشدة/المكافأة عبر رد على الخيط الأصلي خلال 14 يومًا.
- Contributors may be listed on the Security Hall of Fame upon request.
- Appeals on severity/bounty are accepted via the original thread within 14 days.
14) تحديثات البرنامج14) Program Changes
قد نعدّل نطاق/شرائح المكافآت/القواعد. التغييرات الجوهرية تُعلن عبر سجل الإصدارات و/أو إشعارات إلكترونية.
We may adjust scope/reward bands/rules. Material changes are announced via Release Notes and/or Electronic Notices.
15) تاريخ النفاذ وروابط ذات صلة15) Effective Date & Related Links
سارية من تاريخ «آخر تحديث». روابط:
Effective as of the “Last Updated” date. Related: