демо
TMGT
Обсудить онбординг
Дата публикации: 24 апреля 2026 года
Версия 1.0 · Pre-launch
АО «ТМГТ» приветствует работу исследователей безопасности, действующих добросовестно в рамках настоящих Правил.
Программа ответственного раскрытия уязвимостей
Дата публикации: 24 апреля 2026 года
Версия 1.0 · Pre-launch
Программа ответственного раскрытия уязвимостей
АО «ТМГТ» приветствует работу исследователей безопасности, действующих добросовестно в рамках настоящих Правил.
HeadingDoc mob
1. Общие положения
1.1. Назначение Программы
АО «ТрансМашГазТокен» (далее — «Общество», «АО «ТМГТ»») признаёт вклад независимых исследователей безопасности в защиту информационных систем. Программа ответственного раскрытия уязвимостей и вознаграждения за их обнаружение (далее — «Программа», «Bug Bounty») устанавливает правила добросовестного взаимодействия между Обществом и внешними исследователями при обнаружении уязвимостей в Сервисах АО «ТМГТ».
Настоящие Правила определяют разрешённые виды исследовательской деятельности, порядок сообщения об уязвимостях, процесс рассмотрения сообщений, размеры вознаграждения и условия «безопасной гавани» для добросовестных исследователей.
1.2. Pre-launch контекст
На дату публикации настоящих Правил АО «ТМГТ» работает в pre-launch режиме. Программа распространяется на Сайт, Мобильное приложение, Личный кабинет в информационном режиме, публичные API и среду Sandbox. Объём тестирования и размеры вознаграждений будут расширены после перехода к Операционному этапу.
2. Принципы Программы
  • Добросовестность. Исследователь действует в интересах повышения безопасности, не преследуя противоправных целей.
  • Минимальное воздействие. Исследователь не причиняет вреда Сервисам, пользователям и третьим лицам; избегает действий, способных привести к отказу в обслуживании, утрате данных, нарушению работы инфраструктуры.
  • Конфиденциальность. Исследователь не раскрывает детали уязвимости третьим лицам до согласования с Обществом; не публикует технические сведения до исправления уязвимости.
  • Уважение к персональным данным. Исследователь не получает доступ, не собирает, не копирует и не передаёт персональные данные пользователей сверх минимума, необходимого для демонстрации уязвимости.
  • Взаимодействие. Общество и исследователь действуют в режиме конструктивного диалога и придерживаются согласованных сроков.
3. Безопасная гавань (Safe Harbor)
3.1. Обязательство Общества
Общество рассматривает исследовательскую деятельность, осуществляемую в строгом соответствии с настоящими Правилами, как санкционированную Обществом и соответствующую его законным интересам в смысле статьи 272 Уголовного кодекса Российской Федерации (устанавливающей ответственность за неправомерный доступ к охраняемой законом компьютерной информации). При получении Обществом добросовестного сообщения об уязвимости, поданного в соответствии с настоящими Правилами, Общество обязуется:
  • не инициировать и не поддерживать гражданско-правовые, административные или уголовные действия против исследователя в связи с самим фактом обнаружения и сообщения об уязвимости;
  • не направлять в адрес исследователя требований о компенсации убытков, связанных исключительно с добросовестным тестированием в соответствии с настоящими Правилами;
  • при получении запросов правоохранительных или иных органов в отношении действий исследователя — раскрывать факт санкционирования таких действий Обществом в рамках Программы, в объёме, допустимом применимым законодательством и не причиняющем ущерба расследованиям самих инцидентов.
3.2. Пределы безопасной гавани
Безопасная гавань распространяется только на действия, которые:
  • совершены в рамках объёма (Scope), описанного в разделе 4 настоящих Правил;
  • не относятся к запрещённым действиям, указанным в разделе 5 настоящих Правил;
  • не повлекли реального вреда Обществу, его пользователям или третьим лицам;
  • сопровождаются своевременным и добросовестным сообщением об обнаруженной уязвимости Обществу через каналы, указанные в разделе 6.
Безопасная гавань не освобождает исследователя от ответственности по иным основаниям, не связанным непосредственно с Программой, в том числе за действия, совершённые вне объёма Программы, либо в нарушение применимого законодательства Российской Федерации или законодательства юрисдикции резидентства исследователя. Исследователь самостоятельно оценивает применимость законодательства своей юрисдикции к его исследовательской деятельности.
3.3. Взаимодействие с третьими лицами
Безопасная гавань, предоставляемая Обществом, распространяется только на действия исследователя в отношении систем и ресурсов АО «ТМГТ». Если в процессе исследования исследователь выявляет уязвимости, затрагивающие системы или ресурсы третьих лиц (в том числе подрядчиков, провайдеров облачной инфраструктуры, провайдеров KYC), действия исследователя в отношении таких систем регулируются правилами, установленными этими третьими лицами, а не настоящими Правилами. Общество оказывает содействие в координации сообщений третьим лицам, но не берёт на себя обязательств за безопасную гавань со стороны третьих лиц.
4. Объём Программы (Scope)
4.1. Системы в объёме Программы
В настоящее время Программа распространяется на следующие системы и ресурсы АО «ТМГТ»:
  • официальный Сайт АО «ТМГТ» и связанные с ним поддомены, перечень которых публикуется в Центре доверия;
  • Мобильное приложение АО «ТМГТ», распространяемое через официальные магазины приложений (RuStore, App Store, Google Play, AppGallery);
  • публичные API АО «ТМГТ», описание которых размещено в публичной документации;
  • среду Sandbox АО «ТМГТ» — при условии использования тестовых учётных данных, выданных Обществом исследователю.
4.2. Типы уязвимостей, представляющих интерес
  • уязвимости, приводящие к несанкционированному доступу к учётным записям пользователей (обход аутентификации, horizontal и vertical privilege escalation, IDOR);
  • уязвимости, позволяющие несанкционированно читать, изменять или удалять данные пользователей (SQL injection, NoSQL injection, server-side template injection и аналогичные);
  • удалённое выполнение кода (RCE) в серверных компонентах;
  • уязвимости, позволяющие обход механизмов санкционного и комплаенс-скрининга;
  • уязвимости, приводящие к раскрытию конфиденциальной информации Общества или пользователей;
  • серьёзные проблемы конфигурации (экспонированные внутренние сервисы, утечка секретов, небезопасное хранение учётных данных);
  • уязвимости мобильного приложения (небезопасное хранение, обход certificate pinning, инъекции в WebView, некорректная реализация биометрической аутентификации);
  • криптографические уязвимости в реализации Обществом;
  • уязвимости, связанные с обработкой криптографических ключей, сессионных токенов, API-ключей;
  • уязвимости бизнес-логики, приводящие к обходу лимитов, процедур подтверждения или комплаенс-контроля.
5. Запрещённые действия
Следующие действия выходят за пределы безопасной гавани и являются нарушением настоящих Правил. Общество сохраняет за собой право применять предусмотренные законом меры защиты в отношении таких действий:
  • атаки на отказ в обслуживании (DoS, DDoS) в отношении систем Общества, в том числе атаки с высоким объёмом трафика, атаки на исчерпание ресурсов, атаки через автоматизированные сканеры без согласования темпа;
  • социальная инженерия в отношении работников, подрядчиков, партнёров или пользователей Общества (фишинг, вишинг, претекстинг, офлайн-социнжиниринг);
  • физические атаки на офисы, дата-центры и иное оборудование;
  • атаки на инфраструктуру третьих лиц (подрядчиков, облачных провайдеров, регистраторов доменов);
  • использование обнаруженных уязвимостей для получения доступа к данным сверх минимума, необходимого для демонстрации уязвимости;
  • копирование, сохранение, передача или публикация персональных данных, коммерческих данных или иной конфиденциальной информации, полученных в результате эксплуатации уязвимости;
  • модификация, удаление или повреждение данных в системах Общества;
  • тестирование на производственных данных живых пользователей; при необходимости тестирования — использование собственных тестовых учётных записей исследователя или учётных данных Sandbox;
  • эксплуатация уязвимостей для хищения активов, денежных средств или получения иной материальной выгоды;
  • публичное раскрытие деталей уязвимости до согласования с Обществом;
  • вымогательство — требование вознаграждения в обмен на неразглашение уязвимости;
  • передача сведений об уязвимости третьим лицам, включая публичные продажные площадки эксплойтов, государственные и частные службы разведки.
6. Порядок сообщения об уязвимости
6.1. Канал связи
Сообщения об уязвимостях направляются на выделенный адрес электронной почты, указанный на Сайте АО «ТМГТ» в разделе «Безопасность» / «Ответственное раскрытие». Рекомендуется применять PGP-шифрование с использованием публичного ключа АО «ТМГТ», опубликованного в том же разделе.
Альтернативно — при наличии аккаунта — через координационные платформы, на которых АО «ТМГТ» размещает Программу (при их запуске информация публикуется в Центре доверия).
6.2. Содержание сообщения
Сообщение должно содержать:
  • описание уязвимости (тип, затронутый компонент, потенциальное воздействие);
  • пошаговые инструкции для воспроизведения (Proof of Concept);
  • скриншоты, логи, видеозаписи — при необходимости для демонстрации;
  • оценку серьёзности по CVSS 3.1 или аналогичному методу — если возможно;
  • рекомендации по устранению — если у исследователя есть предложения;
  • контактные данные исследователя (имя или псевдоним, адрес электронной почты, по желанию — ссылки на профили);
  • декларацию соблюдения настоящих Правил.
6.3. Сроки реагирования Общества
  • первичное подтверждение получения сообщения — не позднее 2 (двух) рабочих дней;
  • первичная оценка (принято / отклонено / требуются уточнения) — не позднее 10 (десяти) рабочих дней;
  • определение серьёзности и размера вознаграждения — не позднее 30 (тридцати) календарных дней с момента подтверждения уязвимости;
  • устранение уязвимости — в сроки, зависящие от серьёзности (критические — до 30 календарных дней; высокие — до 60; средние — до 90; низкие — в ближайшем плановом релизе), с информированием исследователя о ходе работ.
6.4. Конфиденциальность и публичное раскрытие
Исследователь обязуется не раскрывать сведения об уязвимости публично до момента её устранения Обществом или до истечения согласованного с Обществом срока, разумного для устранения. Общество и исследователь вправе по взаимному согласию опубликовать сведения об уязвимости после её устранения, включая указание заслуг исследователя в «Стене славы» (Hall of Fame) Центра доверия.
7. Вознаграждение
7.1. Принципы вознаграждения
Размер вознаграждения определяется Обществом на основании следующих факторов:
  • серьёзность уязвимости (критическая / высокая / средняя / низкая);
  • затронутый компонент (системы ядра получают более высокие вознаграждения, чем периферийные);
  • качество сообщения (ясность, воспроизводимость, предложенные средства исправления);
  • уникальность (первое сообщение о конкретной уязвимости получает вознаграждение в полном объёме; последующие сообщения о той же уязвимости могут быть отклонены или получить символическое вознаграждение);
  • масштаб потенциального воздействия.
7.2. Ориентировочные диапазоны
На pre-launch этапе размер вознаграждений определяется индивидуально по каждому сообщению и согласуется с исследователем после подтверждения уязвимости. Ориентировочные диапазоны на pre-launch этапе:
  • критические уязвимости (RCE, массовое раскрытие данных, обход санкционного контроля, компрометация ключевого материала) — от 200 000 до 1 000 000 рублей;
  • высокие (сохранённый XSS с привилегиями администратора, SQL injection, обход аутентификации) — от 50 000 до 200 000 рублей;
  • средние (ограниченные IDOR, чувствительные проблемы конфигурации, уязвимости мобильного приложения средней серьёзности) — от 10 000 до 50 000 рублей;
  • низкие (незначительные утечки информации, отсутствие заголовков безопасности при реальной эксплуатационной значимости) — от 3 000 до 10 000 рублей.
Указанные диапазоны являются ориентировочными и не создают обязательства Общества по выплате фиксированной суммы. Окончательный размер вознаграждения определяется Обществом. После перехода к Операционному этапу Общество планирует увеличение диапазонов и публикацию уточнённой тарифной сетки.
7.3. Форма вознаграждения и налогообложение
Вознаграждение выплачивается в российских рублях на банковский счёт исследователя. Выплата производится после подтверждения личности исследователя и предоставления необходимых реквизитов. В отношении выплат физическим лицам Общество выступает налоговым агентом по налогу на доходы физических лиц и производит удержание НДФЛ при выплате вознаграждения в соответствии с Налоговым кодексом Российской Федерации: по ставке 13 (или 15) процентов — для налоговых резидентов Российской Федерации (с учётом прогрессивной шкалы и совокупного годового дохода); по ставке 30 процентов — для лиц, не являющихся налоговыми резидентами Российской Федерации, если иное не предусмотрено применимыми международными соглашениями об избежании двойного налогообложения. Подтверждение статуса налогового резидента иностранного государства, дающего право на применение льготной ставки по такому соглашению, предоставляется исследователем самостоятельно в порядке, установленном Налоговым кодексом Российской Федерации. Исследователи — нерезиденты Российской Федерации самостоятельно несут ответственность за исполнение возможных дополнительных налоговых обязательств в юрисдикции своего резидентства.
7.4. Лица, не имеющие права на вознаграждение
  • работники АО «ТМГТ» и их близкие родственники;
  • подрядчики АО «ТМГТ» и их работники — в отношении систем, находящихся в зоне их ответственности по договорам;
  • лица, включённые в применимые санкционные списки;
  • лица, находящиеся в юрисдикциях, в отношении которых применимые санкционные режимы запрещают выплаты;
  • лица моложе 18 лет — без предоставления согласия законных представителей и соблюдения применимых требований законодательства.
8. Дополнительные условия
8.1. Интеллектуальная собственность
Направляя сообщение об уязвимости, исследователь предоставляет Обществу безвозмездную, непередаваемую, непереводимую за пределы круга лиц, привлекаемых Обществом для устранения уязвимости, лицензию на использование сведений, содержащихся в сообщении, в целях анализа, устранения уязвимости и внутренней документации инцидента. Использование сообщения в маркетинговых материалах и в публичных раскрытиях осуществляется только с согласия исследователя.
8.2. Персональные данные исследователя
Персональные данные исследователя, предоставленные в связи с Программой, обрабатываются Обществом в соответствии с Политикой обработки персональных данных АО «ТМГТ». Правовое основание — исполнение договора (настоящих Правил) и законные интересы Общества в обеспечении безопасности Сервисов.
8.3. Изменения Программы
Общество вправе в одностороннем порядке изменять настоящие Правила, объём Программы, состав систем в Scope и размеры вознаграждений. Изменения публикуются на Сайте и в Центре доверия. Изменения не распространяются на сообщения, отправленные до момента публикации изменений.
8.4. Прекращение Программы
Общество вправе в любой момент приостановить или прекратить Программу с уведомлением в Центре доверия. Приостановление или прекращение Программы не влияет на обязательства Общества в отношении сообщений, поступивших до момента приостановления или прекращения.
Контакты
  • Акционерное общество «ТрансМашГазТокен»
  • ОГРН 1267700137407 · ИНН 9710159627
  • Место нахождения: Российская Федерация, г. Москва
  • Адрес электронной почты Программы Bug Bounty: указан на Сайте в разделе «Безопасность»
  • PGP-ключ для зашифрованных сообщений: опубликован в Центре доверия
  • Координационные платформы (при запуске): BI.ZONE Bug Bounty, Standoff 365 Bug Bounty — объявления публикуются в Центре доверия
Настоящий документ является публичным документом АО «ТрансМашГазТокен». Действующая редакция доступна на официальном сайте Общества. При противоречии между настоящим документом и иными документами АО «ТМГТ» применяются условия документа более высокого уровня (договор → публичная оферта → политика → рекомендации).
© 2026 АО «ТрансМашГазТокен». Все права защищены.