Ответы юриста. Что нужно знать хакеру для участия в Bug Bounty по договору

Содержание статьи

• Какой именно договор заключается для поиска багов?
• Между кем заключается договор?
• Может ли багхантер вносить правки в договор заказчика?
• Гражданский кодекс РФ, статья 421. Свобода договора
• Может ли багхантер предоставить заказчику свой договор?
• Стоит ли начинать работать до согласования договора?
• Какие условия должны быть отражены в договоре?
• Статья 779. Договор возмездного оказания услуг
• Какой договор заключать для консультирования сотрудников заказчика?
• Можно ли заключить договор в электронном виде?
• Статья 434. Форма договора
• Должны ли условия договора быть конфиденциальными?
• Может ли багхантер публично раскрыть обнаруженную информацию?
• Что надо знать про выплату вознаграждения по договору?
• Как определять порядок передачи найденной информации?
• Какие в итоге документы будут у сторон договора?
• Какая у сторон может быть ответственность по договору?
• Подводя итоги

Программы Bug Bounty позволяют хакеру легально заработать, а владельцам сервисов — своевременно получить информацию о найденных уязвимостях. Но если опытный специалист не готов работать на условиях Bug Bounty, то владелец программы может предложить ему взаимовыгодный договор. О юридических нюансах такого метода сотрудничества мы и поговорим в этой статье.

Программа Bug Bounty — это свод правил, который определяет, в каких пределах может вести свою деятельность багхантер, в течение какого времени, какой инструментарий использовать и уязвимости какого рода будут приняты в качестве положительного результата. Также определяется порядок выплат и другие детали.

В большинстве случаев такой свод правил открыт, он обнародован для ознакомления и доступен всем желающим (или достаточно широкому кругу лиц). Когда же владелец программного продукта хочет привлечь к тестированию ограниченный круг специалистов, конкретного человека или компанию, то, как правило, заключается договор или соглашение, где прописываются все его основные условия. Его содержание не обнародуется.

Какой именно договор заключается для поиска багов?

По сути, багхантер, выявляя уязвимости, оказывает владельцу исследуемого программного продукта услуги. Поэтому верным решением видится оформление договора на оказание услуг. Не следует путать такой договор с договором на выполнение работ (договором подряда).

Между кем заключается договор?

Как правило, договор на подобные действия заключается между двумя сторонами, одна из которых — правообладатель тестируемого продукта (заказчик), а другая — тот, кто будет выполнять тестирование (исполнитель). Исполнителем может быть как физическое лицо (если привлекается конкретный специалист), так и компания, если заказчик привлекает организацию.

Может ли багхантер вносить правки в договор заказчика?

В целом да, но это зависит от договоренностей между сторонами договора и их позициями по договору. Если багхантеру невыгоден договор в редакции заказчика и при этом он готов пойти на риск отказа другой стороны, то он может попробовать выдвинуть свои условия и пересмотреть условия заказчика. В конце концов, у нас существует принцип свободы воли договора, по которому стороны вправе согласовывать условия.

Гражданский кодекс РФ, статья 421. Свобода договора

1. Граждане и юридические лица свободны в заключении договора.
   
<…>
2. Условия договора определяются по усмотрению сторон, кроме случаев, когда содержание соответствующего условия предписано законом или иными правовыми актами (статья 422).

Поэтому, если заказчик пришлет проект договора в нередактируемом виде и скажет, что никакие правки вносить нельзя, такая позиция не должна вводить в заблуждение. Как видишь, законом предусмотрено, что условия должны быть согласованы с обеих сторон. Поэтому, если некоторые правки для тебя критичны, не стесняйся отстаивать свою позицию. Если возникнут споры, они будут разрешаться компетентным арбитром с учетом содержания договора, поэтому важно, что именно в нем написано.

Может ли багхантер предоставить заказчику свой договор?

Да, вполне. Если ты уже опытный спец и у тебя налажено взаимодействие с разными производителями софта, то неплохо иметь свой шаблон договора. Но будь готов к тому, что такой договор будет отклонен (и настоятельно предложен встречный вариант договора заказчика) или серьезно отредактирован.

Если в качестве исполнителя выступает компания, то, конечно, ей лучше иметь свой шаблон договора, с которым будет удобно работать. В противном случае придется разбираться с версией договора каждого заказчика. Различия в них увеличат время, которое требуется на согласование.

Стоит ли начинать работать до согласования договора?

Это зависит от степени доверия между заказчиком и багхантером. Когда вы работаете не в первый раз и знаете друг друга, можно начинать работу и согласовывать договор параллельно. Если же для сторон это первое взаимодействие, то лучше, конечно, приступать к поиску уязвимостей только после заключения договора. Вдруг стороны так и не придут к согласию — тогда для заказчика остается риск, что багхантер завладеет конфиденциальной информацией о продукте и сможет использовать ее во вред, а исследователь рискует получить обвинение в неправомерном использовании программных продуктов, то есть объектов тестирования.

Продолжение статьи доступно только подписчикам

Cтатьи из последних выпусков журнала можно покупать отдельно только через два месяца после публикации. Чтобы читать эту статью, необходимо купить подписку.

Подпишись на журнал «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Уже подписан?

Источник