Zásady zodpovedného zverejňovania informácií spoločnosti Credendo
Pre nás v spoločnosti Credendo je bezpečnosť našich systémov najvyššou prioritou. Ale bez ohľadu na to, koľko úsilia vynaložíme na zabezpečenie systému, stále môžu existovať zraniteľné miesta.
Ak objavíte nejaké zraniteľné miesto, radi by sme o ňom vedeli, aby sme mohli podniknúť kroky na jeho čo najrýchlejšie odstránenie. Radi by sme vás požiadali o pomoc s lepšou ochranou našich klientov a našich systémov, a tiež aby ste nezverejňovali tieto informácie, kým nebudeme môcť prijať nápravné opatrenia.
Tieto Zásady zodpovedného zverejňovania informácií sa týkajú všetkých systémov spoločnosti Credendo. V prípade akýchkoľvek nejasností nás kontaktujte prostredníctvom e-mailovej adresy vulnerability@credendo.com.
Aby sa predišlo akýmkoľvek nedorozumeniam uvádzame, že akékoľvek zneužitie alebo zverejnenie dôverných alebo technických informácií týkajúcich sa našich systémov – vrátane akéhokoľvek zneužitia zraniteľných miest – je nezákonné a prísne zakázané a môže viesť k právnym krokom zo strany spoločnosti Credendo. Vaša spolupráca by samozrejme mohla zabrániť takémuto konaniu a veľmi ju uvítame.
Ak ste našli zraniteľné miesto, postupujte takto:
- nahláste ho zaslaním e-mailu so svojimi zisteniami na e-mailovú adresu vulnerability@credendo.com, zašifrujte svoje zistenia pomocou nášho kľúča PGP, aby tieto dôležité informácie neskončili v nesprávnych rukách,
- nezneužívajte zistené zraniteľné miesto alebo problém, napríklad sťahovaním väčšieho množstva údajov, ako je potrebné na preukázanie zraniteľného miesta, alebo vymazaním či úpravou údajov iných ľudí,
- nehovorte o probléme verejne pred ostatnými, kým nebude vyriešený,
- nepoužívajte útoky na fyzickú bezpečnosť, sociálne inžinierstvo, distribuované odmietnutie služby (DDS), spam ani aplikácie tretích strán a
- poskytnite dostatok informácií na objasnenie problému, aby sme ho mohli čo najskôr vyriešiť. Zvyčajne postačí IP adresa alebo URL adresa zasiahnutého systému a popis zraniteľného miesta, ale zložité zraniteľné miesta môžu vyžadovať ďalšie vysvetlenie.
Sľubujeme, že:
- na vaše hlásenie odpovieme do 15 pracovných dní naším vyhodnotením hlásenia s uvedením predpokladaného dátumu vyriešenia,
- ak ste postupovali podľa vyššie uvedených pokynov a inak ste sa nedopustili žiadneho nezákonného, škodlivého alebo neetického konania, nepodnikneme voči vám žiadne právne kroky v súvislosti s hlásením,
- s vaším hlásením budeme zaobchádzať prísne dôverne a vaše osobné údaje nebudeme bez vášho súhlasu poskytovať tretím stranám,
- o napredovaní pri riešení problému vás budeme priebežne informovať,
- vo verejne dostupných informáciách týkajúcich sa nahláseného problému uvedieme vaše meno ako meno osoby, ktorá problém objavila (pokiaľ si neželáte inak) a
- ako prejav vďaky za vašu pomoc ponúkame odmenu za každé nahlásenie bezpečnostného problému, o ktorom sme doteraz nevedeli. Zásady spoločnosti Credendo však neumožňujú žiadne peňažné odmeny. Presnú odmenu určí spoločnosť Credendo na základe závažnosti úniku a kvality hlásenia.
Snažíme sa všetky problémy vyriešiť čo najrýchlejšie a radi by sme sa aktívne podieľali na konečnom zverejnení informácií o probléme po jeho vyriešení.