Zasady odpowiedzialnego ujawniania obowiązujące w Credendo
W Credendo uważamy bezpieczeństwo naszych systemów za jeden z głównych priorytetów. Jednak mimo starań, jakich dokładamy, żeby zabezpieczać nasze systemy, wciąż mogą w nich istnieć podatności na zagrożenia.
Jeśli odkryjesz podatność, chcielibyśmy się o niej dowiedzieć, żeby ją jak najszybciej wyeliminować. Prosimy Cię zatem o nieujawnianie podatności publicznie, zanim nie podejmiemy działań zaradczych. Pomoże nam to lepiej chronić naszych klientów i nasze systemy.
Niniejsze Zasady odpowiedzialnego ujawniania mają zastosowanie do wszystkich systemów Credendo. W razie wątpliwości prosimy o kontakt z nami pod adresem vulnerability@credendo.com.
Aby uniknąć jakichkolwiek nieporozumień, podkreślamy, że każde niewłaściwe wykorzystanie lub ujawnienie poufnych lub technicznych informacji dotyczących naszych systemów – w tym każde wykorzystanie podatności – jest niezgodne z prawem, surowo zabronione i może skutkować podjęciem działań prawnych przez Credendo. Twoja współpraca oczywiście pozwoli uniknąć takich działań; będziemy za nią bardzo wdzięczni.
Prosimy – w razie odkrycia podatności postępuj zgodnie z następującymi zasadami:
- Zgłoś podatność, wysyłając e-mail ze swoimi spostrzeżeniami na adres vulnerability@credendo.com. Zaszyfruj swoje spostrzeżenia za pomocą naszego klucza PGP, aby te newralgiczne informacje nie wpadły w niepowołane ręce.
- Nie wykorzystuj odkrytej podatności lub problemu, na przykład nie pobieraj większej ilości danych niż jest to niezbędne do wykazania podatności; nie usuwaj i nie modyfikuj danych innych osób.
- Nie ujawniaj problemu innym osobom, dopóki nie zostanie on wyeliminowany.
- Nie podejmuj ataków na zabezpieczenia fizyczne, ataków DDoS ani ataków na aplikacje podmiotów trzecich, nie stosuj technik inżynierii społecznej ani nie rozsyłaj spamu.
- Przekaż informacje potrzebne do odtworzenia problemu, abyśmy mogli jak najszybciej go wyeliminować. Zwykle wystarczy adres IP lub URL systemu z podatnością oraz opis podatności, jednak w skomplikowanych przypadkach mogą być konieczne dodatkowe wyjaśnienia.
Obiecujemy:
- Odpowiemy na Twoje zgłoszenie w ciągu 15 dni roboczych, przedstawiając naszą ocenę zgłoszenia i przewidywaną datę rozwiązania problemu.
- Jeśli Twoje postępowanie było zgodne z zasadami przedstawionymi powyżej i nie było niezgodne z prawem, szkodliwe lub nieetyczne, nie podejmiemy wobec Ciebie żadnych działań prawnych w związku ze zgłoszeniem.
- Potraktujemy Twoje zgłoszenie jako ściśle poufne i nie przekażemy Twoich danych osobowych podmiotom trzecim bez Twojej zgody.
- Będziemy informować Cię o postępach w rozwiązaniu problemu.
- W publicznych informacjach dotyczących zgłoszonego problemu będziemy wskazywać Ciebie (podając Twoje imię i nazwisko) jako osobę, która odkryła problem, chyba że nie będziesz sobie tego życzyć.
- W dowód wdzięczności za Twoją pomoc zaoferujemy nagrodę za każde zgłoszenie problemu z zabezpieczeniami, o którym jeszcze nie wiedzieliśmy. Jednak zasady obowiązujące w Credendo nie dopuszczają wypłacania jakichkolwiek nagród pieniężnych. Credendo określi rodzaj nagrody, biorąc pod uwagę jakość zgłoszenia oraz to, jak poważna była podatność.
Staramy się jak najszybciej rozwiązywać każdy problem i chcemy odgrywać aktywną rolę w upublicznianiu informacji o problemie po jego rozwiązaniu.