Odpowiedzialne ujawnienie
Bezpieczeństwo to nasza codzienna praca, więc traktujemy je poważnie także u siebie. Jeśli znajdziesz podatność w naszych systemach, chcemy o niej usłyszeć. Poniżej opisujemy, jak zgłosić ją bezpiecznie i czego możesz od nas oczekiwać.
Jak zgłosić podatność
Napisz do nas na contact@elementrica.com. Dane kontaktowe zespołu bezpieczeństwa w formacie maszynowym znajdziesz też w naszym pliku security.txt.
W zgłoszeniu opisz krótko: czego dotyczy podatność, jak ją odtworzyć (krok po kroku) i jaki może mieć wpływ. Dołącz dowód (na przykład zrzut ekranu lub żądanie), ale bez zbędnego dostępu do danych.
Zakres
Zasady dotyczą serwisów i systemów należących do Elementrica, w tym tej strony. Jeśli nie masz pewności, czy dany zasób należy do nas, zapytaj przed rozpoczęciem testów.
Zasady bezpiecznego testowania
Żeby Twoje działania były bezpieczne dla obu stron, trzymaj się kilku zasad. Prosimy, abyś:
- działał w dobrej wierze i tylko w zakresie potrzebnym do wykazania podatności,
- nie uzyskiwał dostępu do cudzych danych, nie modyfikował ich i nie usuwał,
- nie prowadził ataków na dostępność (DoS/DDoS) ani testów wydajnościowych,
- nie stosował socjotechniki wobec naszych pracowników, klientów ani kontrahentów,
- nie korzystał z podatności poza tym, co konieczne do jej potwierdzenia,
- dał nam rozsądny czas na naprawę, zanim ujawnisz szczegóły publicznie.
Nasze zobowiązania
W zamian zobowiązujemy się, że:
- będziemy informować Cię o postępach w analizie i naprawie,
- nie podejmiemy działań prawnych wobec osób działających w dobrej wierze i zgodnie z tymi zasadami,
- podziękujemy autorowi zgłoszenia, jeśli wyrazi na to zgodę.
Czego nie traktujemy jako podatność
Zwykle nie kwalifikujemy zgłoszeń dotyczących wyłącznie:
- braku nagłówków bezpieczeństwa bez wykazania realnego wpływu,
- wyników automatycznych skanerów bez potwierdzenia, że da się je wykorzystać,
- kwestii czysto teoretycznych lub wymagających mało prawdopodobnych warunków.