Zásady odpovědného zveřejňování informací společnosti Credendo
Ve společnosti Credendo považujeme bezpečnost našich systémů za nejvyšší prioritu. Ale bez ohledu na to, kolik úsilí vynaložíme na zabezpečení systému, stále mohou existovat zranitelná místa.
Pokud objevíte takové zranitelné místo, rádi bychom o něm věděli, abychom mohli co nejrychleji přijmout opatření k jeho odstranění. Žádáme vás, abyste nám pomohli lépe chránit naše klienty a naše systémy a nezveřejňovali tyto informace, dokud nebudeme moci přijmout nápravná opatření.
Tyto zásady odpovědného zveřejňování informací se vztahují na všechny systémy společnosti Credendo. V případě jakýchkoli pochybností nás prosím kontaktujte na adrese vulnerability@credendo.com.
Aby nedošlo k nedorozumění, jakékoli zneužití nebo zveřejnění důvěrných nebo technických informací týkajících se našich systémů, včetně jakéhokoli zneužití zranitelností, je nezákonné a přísně zakázané a může mít za následek právní kroky ze strany společnosti Credendo. Vaše spolupráce by samozřejmě mohla takovým právním krokům zabránit a je velmi vítána.
Pokud jste objevili zranitelnost, postupujte následovně:
- Nahlaste ji zasláním e-mailu s vašimi zjištěními na adresu vulnerability@credendo.com. Zašifrujte svá jištění s použitím klíče PGP aby se zabránilo tomu, že se tyto důležité informace dostanou do nesprávných rukou;
- Nevyužívejte zranitelnost nebo problém, který jste objevili, například stahováním více dat, než je nutné k prokázání zranitelnosti, nebo odstraňováním či úpravami dat jiných osob;
- Nesdílejte problém s ostatními, dokud nebude vyřešen;
- Nepoužívejte útoky na fyzickou bezpečnost, sociální inženýrství, distribuované odmítnutí služby, spam nebo aplikace třetích stran;
- Poskytněte prosím dostatečné informace umožňující reprodukování problému, abychom jej mohli co nejrychleji vyřešit. Obvykle stačí IP adresa nebo URL adresa postiženého systému a popis zranitelnosti, ale složité zranitelnosti mohou vyžadovat další vysvětlení.
Co slibujeme:
- Na vaši zprávu odpovíme do 15 pracovních dnů a poskytneme vám hodnocení zprávy a předpokládané datum vyřešení;
- Pokud jste postupovali podle výše uvedených pokynů a jinak jste se nedopustili žádného protiprávního, škodlivého nebo neetického jednání, nebudeme proti vám v souvislosti s oznámením podnikat žádné právní kroky;
- Vaše hlášení budeme zpracovávat s přísnou důvěrností a bez vašeho souhlasu nepředáme vaše osobní údaje třetím stranám;
- Budeme vás informovat o průběhu řešení tohoto problému;
- Ve veřejných informacích týkajících se nahlášeného problému uvedeme vaše jméno jako jméno osoby, která problém objevila (pokud si nepřejete jinak);
- Jako projev naší vděčnosti za vaši pomoc nabízíme odměnu za každé nahlášení bezpečnostního problému, který nám dosud nebyl znám. Zásady společnosti Credendo však nedovolují jakýkoli druh finanční odměny. Přesná odměna bude stanovena společností Credendo na základě závažnosti úniku a kvality hlášení.
Snažíme se všechny problémy řešit co nejrychleji a rádi bychom se aktivně podíleli na konečném zveřejnění informací o daném problému po jeho vyřešení.