شرایط استفاده از خدمات ارزیابی امنیتی اپلیکشن های موبایلی آشنا ایمن
1- محدوده
شرکت آشنا ایمن که در سال 1381 با شماره ثبت 197299 به ثبت رسیده، یکی از مطرح ترین شرکت های حوزه امنیت است و مجموعه قوانین حاضر به بیان شرایط استفاده اشخاص حقیقی و حقوقی مختلف از خدمات ارزیابی امنیت اپلیکیشن های موبایلی این شرکت (که از این پس به اختصار MSST نامیده می شود)، می پردازد.
با انتخاب گزینه "شرایط فوق را مطالعه کرده و می پذیرم"، شما پذیرفته اید که کلیه قوانین مندرج در این قرارداد را بصورت کامل مطالعه کرده و موافقت کامل خود را با آن ها اعلام می دارید. در غیر اینصورت، حق استفاده از خدمات این محصول را نداشته و از این صفحه خارج خواهید شد. پذیرش این شرایط به هیچ وجه به معنای برقراری رابطه تجاری بین مشتری و شرکت آشنا ایمن نخواهد بود.
2- معرفی اجمالی ابزار MSST
MSST یک محصول بومی برای ارزیابی امنیتی اپلیکشن های موبایلی است که توسط شرکت آشنا ایمن توسعه یافته و کلیه حقوق مادی و معنوی آن متعلق به این شرکت است. هدف از طراحی این محصول، فراهم کردن ابزاری برای ارزیابی امنیتی اپلیکشنهای موبایلی، شناخت آسیب پذیری های آنها، اهمیت هر یک از این آسیب پذیری ها و همچنین ارائه راهکارهای امن سازی برای ایمن سازی آسیب پذیری های شناسایی شده می باشد.
این خدمت به متقاضیانی ارائه می شود که بر روی درگاه اینترنتی MSST ثبت نام کرده، نام کاربری و رمز عبور دریافت کرده و هزینه های مربوطه را بر اساس تعرفه های ارائه خدمات، پرداخت کرده باشند. همچنین برای استفاده از این خدمت، متقاضی باید مستندات معتبری مبنی بر دارا بودن صلاحیت کافی برای انجام ارزیابی امنیتی بر روی اپلیکشن مورد نظر خود را ارائه نماید. در صورت وجود هرگونه مغایرت و یا ابهام در برخورداری متقاضی از صلاحیت لازم، آشنا ایمن می تواند بصورت یکجانبه ارائه خدمات این سامانه به متقاضی را ملغی نماید.
3- استفاده از خدمات MSST
برای استفاده از این خدمات، کاربر باید با نام کاربری و رمز عبور تخصیص داده شده به وی، وارد سایت شده و پروژه جدیدی برای ارزیابی امنیتی یک اپلیکیشن جدید تعریف نماید.
تعریف پروژه جدید شامل چند مرحله است:
- بارگذاری اپلیکیشن موبایلی و انجام تنظیمات ارزیابی امنیتی
- تأیید صلاحیت کاربر برای استفاده از خدمات ارائه شده برای اپلیکیشن مورد نظر
- انتخاب نوع سرویس مورد نیاز و پرداخت آنلاین هزینه ها
- انجام ارزیابی امنیتی
- مشاهده و دریافت نتایج ارزیابی
پس از اتمام ارزیابی، کاربر می تواند نتایج آن را بر روی پرتال مشاهده کرده و در صورت نیاز، نسخه الکترونیکی آن را دانلود نماید. این گزارش به مدت یکماه بر روی پرتال قابل دسترس توسط کاربر خواهد بود و پس از آن، بصورت اتوماتیک حذف خواهد شد. همچنین کاربر می تواند هر یک از گزارش های خود را در هر زمان که بخواهد (در بازه زمانی قبل از حذف شدن خودکار آن) از سامانه حذف نماید. از آنجا که تاریخچه ارزیابی و نتایج آن پس از حذف (اعم از اینکه توسط کاربر صورت گرفته باشد و یا بصورت خودکار توسط سامانه انجام شده باشد) به هیچ عنوان قابل بازیابی نیست، لذا تمامی مسؤلیت های ناشی از حذف آن از روی سامانه (به هر یک از دو صورت فوق) متوجه کاربر می باشد.
خدمات MSST بصورت بدون وقفه (24*7) و بصورت آنلاین و با استفاده از ایمیل به متقاضیان ارائه می شود. در صورت نیاز به دریافت اطلاعات بیشتر در مورد خدمات MSST، متقاضیان می توانند پرسش خود را به وسیله ایمیل برای تیم پشتیبانی ارسال نمایند. تیم پشتیبانی حداکثر ظرف مدت یک روز کاری، به این پرسش ها از طریق ایمیل پاسخ خواهد داد.
4- متدولوژی ارزیابی امنیتی MSST
متدولوژی ارزیابی امنیتی MSST بر مبنای آخرین نسخه استانداردهای جهانی مانند راهنمای ارزیابی OWASP، NIST800-115 و دستورالعمل تست نفوذ PCI DSS تدوین شده است. MSST از انجام هرگونه تست امنیتی که احتمال آسیب رسانی و تخریب اپلیکیشن و یا داده های مشتری را تقویت کند، اجتناب خواهد کرد.
5- پورتال MSST
5-1- فرآیند ثبت نام
برای استفاده از خدمات MSST، متقاضی باید ابتدا در پرتال MSST ثبت نام نموده و اطلاعات وی مورد اعتبارسنجی قرار گیرد. متقاضی باید تمام اطلاعات خواسته شده را با صداقت و بصورت صحیح در پرتال وارد کند.
آشنا ایمن حق هرگونه اعتبار سنجی از این اطلاعات در هر زمان و به هر شکل را خواهد داشت. در صورت مواجهه با هرگونه اطلاعات مشکوک، آشنا ایمن می تواند حساب کاربری ساخته شده با این اطلاعات مشکوک را بدون اطلاع قبلی، مسدود نماید.هرگونه اعتراض ناشی از مسدود و یا حذف کردن این حسابهای کاربری و اطلاعات آنها در سامانه MSST، مردود خواهد بود.
5-2- تعریف کاربر
هر کاربر باید ضمن وارد کردن اطلاعات هویتی خود، حساب کاربری خود را با استفاده از آدرس ایمیل و تعریف رمز عبور مناسب، بسازد. این اطلاعات کاملاً شخصی بوده و کاربر باید در حفظ آن ها بکوشد.
5-3- به روز رسانی اطلاعات حساب کاربری
هر کاربر می تواند اطلاعات شخصی خود را از طریق صفحه پروفایل خود (قابل دسترس در حساب کاربری)، به روز رسانی نماید.
5-4- زمان سرویس دهی پرتال
پرتال در طول 7 روز هفته و 24 ساعت شبانه روز، آماده سرویس دهی می باشد؛ لیکن در صورت وقوع عوامل فنی و یا قعطی خارج از کنترل آشنا ایمن و یا مخاطرات امنیتی، این شرکت حق توقف خدمت رسانی تا رفع مشکل را برای خود محفوظ می داند. در اینصورت چنانچه بدلیل از سرویس خارج شدن MSST خسارتی بر کاربر وارد آید، کاربر حق ادعای هیپگونه خسارتی را نخواهد داشت.
5-5- امنیت پرتال
با وجود تلاش بی وقفه و مستمر آشنا ایمن در به روز رسانی امنیتی پرتال و ایمن سازی آن در برابر تهدیدات جدید، احتمال سوء استفاده هکرها و سودجویان از حفره های امنیتی احتمالی وجود دارد. لذا آشنا ایمن هیچگونه مسؤلیتی در قبال حفاظت از داده های کاربران در برابر حملات سودجویان نخواهد داشت.
6- محدودیتها
با وجود تلاش مستمر آشنا این در به روز رسانی MSST، این شرکت هیچگونه تعهدی مبنی بر شناسایی تمامی آسیب پذیریهای احتمالی اپلیکیشنهای بارگذاری شده ندارد و نتایج ارزیابی صرفاً در محدوده درخواست شده توسط مشتری و در زمان مورد درخواست، اعتبار خواهند داشت.
پس از اتمام ارزیابی و بر اساس نوع سرویس و محدوده خدمت درخواست شده، MSST راهکارهای کلی لازم را جهت ایمن سازی اپلیکیشن پیشنهاد خواهد داد. مسؤلیت پیاده سازی این پیشنهادات و یا بکارگیری سایر روش های ایمن سازی جهت رفع آسیب پذیری های شناسایی شده، بر عهده متقاضی خواهد بود.
7- قوانین ناظر بر مشتریان
یک مشتری یا کاربر حق انجام ارزیابی امنیتی بر روی اپلیکیشنهایی که مالکیت معنوی آنها متعلق به او نیست یا بصورت مکتوب چنین حقی به وی واگذار یا تفویض نشده است را ندارد. در صورت وقوع تخلف از این موضوع، حساب کاربری کاربر خاطی مسدود شده و تبعات سوء استفاده احتمالی از نتایج ارزیابی، از طریق مراجع ذیصلاح قابل پیگرد خواهد بود.
7-1- قوانین ناظر بر استفاده از محصولات طرف سوم (Third Party)
در صورتیکه مالکیت معنوی اپلیکیشن صرفاً در اختیار متقاضی انجام ارزیابی نباشد، آنگاه وی موظف است همزمان با ثبت درخواست ارزیابی، معرفی نامه (رضایت نامه) مکتوب از کلیه مالکان احتمالی آن را ارائه نماید.
7-2- افشای احتمالی اطلاعات حساب کاربری
در صورت افشای احتمالی اطلاعات حساب کاربری یک کاربر، وی باید در اولین فرصت این موضوع را از طریق بخش پشتیبانی ساانه MSST به اطلاع شرکت آشنا ایمن برساند. تبعات ناشی از افشای این اطلاعات (مانند سوء استفاده از نتایج ارزیابی اپلیکیشنهای بارگذاری شده یا تخریب همه یا بخشی از اطلاعات کاربر) بر عهده کاربر خواهد بود.
7-3- دسترس پذیری
هر کاربر باید اطلاعات ارتباطی مناسب و کافی (مانند شماره تماس و آدرس ایمیل) از خود را بر روی سامانه ثبت نماید تا دسترسی به وی در مواقع اضطراری تسهیل شود.
8- نقض قوانین
در صورت نقض قوانین حاکم بر سامانه MSST، تمام مسؤلیتهای و عواقب آن بر عهده کاربر خواهد بود. آشنا ایمن حق طرح دعوی در محاکم قضایی و جبران خسارات احتمالی وارده از طرف کاربر خاطی را برای خود محفوظ می دارد و کاربر به این وسیله حق هرگونه اعتراضی را از خود سلب می نماید.
همچنین آشنا ایمن هیچگونه مسؤلیتی در برابر عدم آگاهی کامل کاربر از قوانین و قابلیتهای سامانه و استفاده ناصحیح از آنها ندارد. کاربر موظف است دستورالعملهای مندرج در پرتال را بصورت کامل مطالعه کرده مطابق با ضوابط مشخص شده، از خدمات آن استفاده کند.
9- شرایط پرداخت
هزینه انجام ارزیابی امینیتی بر روی یک اپلیکیشن موبایلی بر اساس نوع سرویس درخواستی و تعرفه شرکت آشنا ایمن تعیین شده و در مرحله تعریف پروژه و انتخاب سرویس، بر روی پرتال نمایش داده خواهد شد. کلیه پرداختها نیز به ریال صورت خواهد پذیرفت.
در صفحه مربوط به مشخصات پرداخت، علاوه بر مبلغ سرویس درخواستی، مالیات بر ارزش افزوده نیز مطابق با قوانین جاری کشور به صورتحساب کاربر افزوده خواهد شد.
کلیه مراحل پرداخت بصورت آنلاین و با استفاده از درگاههای پرداخت اینترنتی انجام خواهد شد و آشنا ایمن هیچگونه مسؤلیتی در برابر وقوع مغایرتهای احتمالی در تراکنشهای مالی نخواهد داشت. تصویر فاکتور صادر شده در حساب کاربری، قابل دسترس خواهد بود. این فاکتور برای مدت یکسال از طریق حساب کاربری، قابل دسترس خواهد بود و پس از آن بصورت خودکار حذف می شود. مسؤلیت نگهداری، چاپ و یا ذخیره سازی فاکتورهای صادر شده در یک محیط ان، جزء مسؤلیتهای کاربر می باشد.
ارائه هرگونه خدمت، منوط به اتمام فرآیند پرداخت می باشد.
10- رعایت امانت و محرمانگی اطلاعات
دسترسی به اطلاعات حساس کاربران، بر اساس استاندارد ISO 27001:2013 صرفاً برای پرسنل تأیید صلاحیت شده و مجاز آشنا ایمن، مقدور خواهد بود. این دسترسی صرفاً محدود به بخشی از اطلاعات خواهد بود که مرتبط با شرح وظایف کارشناس مربوطه است.
کلیه پرسنل آشنا ایمن تعهدنامه عدم افشای اطلاعات را پیش از دسترسی به اطلاعات کاربران تکمیل نموده اند.
آشنا ایمن هیچ بخشی از اطلاعات تجاری، فنی، شخصی و نتایج ارزیابی های کاربران را با سایر افراد فاقد صلاحیت به اشتراک نخواهد گذاشت؛ مگر به درخواست مراجع قضایی صالح.
11- حق مالکیت
مالکیت تجاری و معنوی محصول MSST متعلق به شرکت آشنا ایمن بوده و هرگونه سوء استفاده احتمالی از نام، علامت تجاری و یا نتایج ارزیابی های انجام شده در آن، پیگرد قانونی خواهد داشت.
12- به روز رسانی قوانین
آشنا ایمن مجموعه مفاد این قانون را در هر زمان و به هر شکل که لازم باشد، می تواند اصلاح و به روز رسانی نماید؛ بدون آنکه نیازی به اخذ مجوز از سایر مراجع داشته باشد. این به روز رسانی ها باید تابع قانون تجارت جمهوری اسلامی ایران باشد. لازم است همواره آخرین نسخه قوانین از طریق پرتال در دسترس کاربران قرار داشته باشد.
13- قوانین حاکم
مجموعه قوانین حاضر، تابع قوانین جمهوری اسلامی است و در صورت بروز هرگونه اختلاف نظر بین ذینفعان در برابر تفسیر مفاد آن، موضوع از طریق مراجع صالحه قضایی قابل پیگیری خواهد بود.