DDactic Safety Policyמדיניות בטיחות DDactic

Policy Statementהצהרת מדיניות

DDactic is committed to:DDactic מחויבת ל:

• Conducting security assessments that minimize risk to client systems and operationsביצוע הערכות אבטחה הממזערות סיכון למערכות ולפעילות הלקוח
• Following industry best practices and ethical guidelinesעמידה בפרקטיקות תעשייה מובילות ובהנחיות אתיות
• Maintaining the highest standards of professionalism and safetyשמירה על סטנדרטים גבוהים של מקצועיות ובטיחות
• Protecting client data and infrastructure throughout engagementsהגנה על נתוני הלקוח ותשתית לאורך כל ההתקשרויות
• Complying with all applicable laws and regulationsציות לכל החוקים והתקנות החלים

Scopeהיקף

This policy applies to:הפרות מדיניות זו עלולות לגרום להשעיה, פעולה משמעתית או פעולה משפטית בהתאם לחומרת ההפרה.

• All DDactic employees and contractorsכל עובדי DDactic וקבלנים
• All security assessment engagementsכל התקשרויות הערכת אבטחה
• All testing methodologies and toolsכל מתודולוגיות וכלי בדיקה
• All client interactions and communicationsכל אינטראקציות ותקשורת עם לקוחות

Safety Principlesעקרונות בטיחות

1. Authorization First1. הרשאה קודם כל

• No Testing Without Authorization: All testing requires explicit written authorizationאין בדיקה ללא הרשאה: כל בדיקה דורשת הרשאה מפורשת בכתב
• Scope Adherence: Testing is limited to authorized systems and methods onlyעמידה בהיקף: בדיקה מוגבלת למערכות ושיטות מורשות בלבד
• Change Management: Any scope changes require new authorizationניהול שינויים: כל שינויי היקף דורשים הרשאה חדשה

2. Minimize Impact2. מזעור השפעה

• Non-Destructive Testing: Prefer passive and non-intrusive methodsבדיקה לא הרסנית: להעדיף שיטות פסיביות ולא פולשניות
• Business Continuity: Avoid testing during business-critical periods when possibleהמשכיות עסקית: להימנע מבדיקה בתקופות קריטיות לעסק כאשר אפשרי
• Resource Conservation: Use efficient scanning to minimize resource consumptionשימור משאבים: להשתמש בסריקה יעילה כדי למזער צריכת משאבים
• Service Availability: Monitor for service disruptions and pause if detectedזמינות שירות: לפקח על הפרעות שירות ולהשהות אם מזוהה

3. Responsible Disclosure3. גילוי אחראי

• Immediate Notification: Critical vulnerabilities reported immediatelyהתראה מיידית: פגיעות קריטיות מדווחות מיד
• Coordinated Disclosure: Work with clients on disclosure timelinesגילוי מתואם: לעבוד עם לקוחות על לוחות זמנים לגילוי
• No Public Disclosure: Never disclose findings without client consentאין גילוי ציבורי: לעולם לא לחשוף ממצאים ללא הסכמת הלקוח
• Responsible Handling: Protect vulnerability information from unauthorized accessמינימום נתונים: לאסוף רק נתונים נדרשים

4. Data Protection4. הגנת נתונים

• Data Minimization: Collect only necessary data for assessmentאחסון מאובטח: להצפין ולאבטח את כל נתוני הלקוח
• Secure Storage: Encrypt and secure all client dataבקרת גישה: להגביל גישה לאנשים מורשים בלבד
• Access Control: Limit access to authorized personnel onlyשמירת נתונים: לשמור נתונים רק ככל הנדרש
• Data Retention: Retain data only as long as necessaryסילוק מאובטח: לסלק נתונים כראוי לאחר תקופת השמירה
• Secure Disposal: Properly dispose of data after retention periodאימות הרשאה בכתב

Testing Safety Guidelinesהנחיות בטיחות בדיקה

Pre-Testing Safety Checksלפני בדיקה

Before beginning any testing:שאלות מדיניות:
אימייל: [email protected]
טלפון: [מספר טלפון]

1. Verify Authorization: Confirm written authorization is in placeסקירת היקף ומערכות מורשות
2. Review Scope: Ensure understanding of authorized targets and methodsבדיקת אנשי קשר חירום
3. Check Contacts: Verify emergency contact informationאישור לוח זמנים וחלון בדיקה
4. Review Schedule: Confirm testing window and blackout periodsאימות סטטוס מערכת
5. System Status: Verify target systems are operational and readyפיקוח השפעה ורציפות שירות

During Testing Safety Measuresבמהלך בדיקה

During active testing:דיווח אירועים:
אימייל: [email protected]
טלפון: [מספר טלפון]

1. Monitor Impact: Continuously monitor for service disruptionsהגבלת קצב למניעת עומס
2. Rate Limiting: Implement appropriate rate limiting to avoid overloadהשהיית בדיקה אם מתרחשות שגיאות
3. Error Handling: Stop testing if unexpected errors or disruptions occurתקשורת פתוחה עם הלקוח
4. Communication: Maintain open communication with client contactsתיעוד פעילויות וכל בעיה
5. Documentation: Document all testing activities and any issuesאימות הפסקת כל הפעילויות

Post-Testing Safety Proceduresלאחר בדיקה

After testing completion:עודכן לאחרונה: 2025-01-08

1. Verification: Verify all testing activities have ceasedניקוי קבצים זמניים וחפצי בדיקה
2. Cleanup: Remove any temporary files or test artifactsדיווח על אירועים או השפעות בלתי צפויות
3. Reporting: Report any incidents or unexpected impacts immediatelyתיעוד ממצאים ופעילויות
4. Documentation: Document all findings and activitiesהתקפות DoS או כל פעילות המפריעה לשירות

Prohibited Activitiesפעילויות אסורות

The following activities are strictly prohibited without explicit written consent:סטטוס: פעיל

• Denial of Service (DoS) Attacks: Any activity that could cause service disruptionשינוי או מחיקה של נתוני הלקוח
• Data Modification: Altering, deleting, or modifying client dataהסלמת הרשאות או גישה לא מורשית
• Data Exfiltration: Copying or removing client data beyond assessment needsבדיקה הרסנית או מחוץ להיקף
• Privilege Escalation: Attempting to gain unauthorized access levelsהפסקת פעילויות הבדיקה מיד
• Destructive Testing: Any testing that could cause permanent damageהודעה לאיש קשר חירום של הלקוח
• Out-of-Scope Testing: Testing systems or methods not explicitly authorizedהערכה והכלה של ההשפעה

Incident Responseתגובה לאירועים

Incident Classification

Critical Incident: Service disruption, data breach, or system compromise
Major Incident: Significant impact on operations or security
Minor Incident: Limited impact, easily remediatedגרסה: 1.0.0

Incident Response Procedures

1. Immediate Action: Stop all testing activities immediatelyתיעוד האירוע והפעולות
2. Notification: Notify client emergency contact within 15 minutesסקירת לאחר אירוע למניעת הישנות
3. Assessment: Assess the nature and impact of the incidentציות לכל החוקים והתקנות החלים
4. Containment: Take steps to contain and mitigate impactאין פעילויות המפרות חוקי הונאת מחשב
5. Documentation: Document incident details and response actionsכיבוד תקנות הגנת נתונים (GDPR, CCPA וכו')
6. Resolution: Work with client to resolve incidentהכשרת בטיחות הערכת אבטחה
7. Post-Incident Review: Conduct review to prevent recurrenceהכשרת האקינג אתי וגילוי אחראי

Incident Reporting

All incidents must be:

• Reported immediately to client and DDactic managementהכשרת הגנת נתוני לקוח
• Documented in incident reportהכשרת נהלי תגובה לאירועים
• Included in final assessment report
• Reviewed for lessons learned

Emergency Contactsציות ומשפט

DDactic Emergency Contact

Email: [email protected]
Response Time: Within 30 minutes

Escalation Path

1. Project Manager
2. Technical Lead
3. Management
4. Legal/Compliance (if required)

Compliance and Legalהכשרה ומודעות

Legal Compliance

• All activities comply with applicable laws and regulations
• No testing activities violate computer fraud or abuse laws
• Client authorization provides legal protection for authorized activities
• Unauthorized activities are strictly prohibited

Regulatory Requirements

• Comply with industry-specific regulations (HIPAA, PCI-DSS, etc.)
• Respect data protection regulations (GDPR, CCPA, etc.)
• Follow export control regulations for tools and technologies
• Maintain necessary licenses and certifications

Training and Awarenessאכיפת מדיניות

Required Training

All DDactic personnel must complete:

• Security assessment safety training
• Ethical hacking and responsible disclosure training
• Client data protection training
• Incident response procedures training

Ongoing Education

• Regular updates on new threats and methodologies
• Industry best practices and standards
• Legal and regulatory updates
• Tool and technology training

Policy Enforcementפרטי יצירת קשר

Violations

Violations of this policy may result in:

• Immediate suspension from project
• Disciplinary action up to and including termination
• Legal action if violations result in damages
• Loss of certifications or credentials

Reporting Violations

Personnel are required to report policy violations to:

• Project Manager
• Management
• Compliance Officer

Policy Review and Updates

Review Schedule

This policy is reviewed:

• Annually, or
• When regulations change, or
• When incidents reveal gaps, or
• When methodologies evolve

Update Process

1. Identify need for update
2. Draft proposed changes
3. Review with management and legal
4. Approve and publish updates
5. Communicate changes to all personnel
6. Update training materials

Acknowledgment

All DDactic personnel must:

• Read and understand this policy
• Acknowledge receipt and understanding
• Comply with all policy requirements
• Report violations or concerns

Contact Information

Policy Questions:
Email: [email protected]

Incident Reporting:
Email: [email protected]