Polityka Odpowiedzialnego Ujawniania

Poważnie podchodzimy do naszych systemów zabezpieczeń i doceniamy społeczność testerów. Odpowiedzialne ujawnianie luk w systemie zabezpieczeń pozwala nam zagwarantować bezpieczeństwo i chronić prywatność naszych użytkowników.

Wytyczne

Pragniemy, aby wszyscy testerzy:

  • Dołożyli wszelkich starań w celu uniknięcia naruszeń prywatności, pogorszenia jakości korzystania z serwisu, zakłóceń systemów produkcji oraz niszczenia danych podczas testowania zabezpieczeń;
  • Przeprowadzali testy wyłącznie w zakresie określonym poniżej;
  • Wykorzystywali zidentyfikowane kanały komunikacji do zgłaszania nam informacji o lukach; oraz
  • Zachowali wszelkie informacje o znalezionych lukach w tajemnicy pomiędzy sobą a Silverstreet przez 90 dni, których potrzebujemy do wyjaśnienia danej sprawy.

Jeżeli zgłaszając nam sprawę, zastosujesz się do powyższych wytycznych, zobowiązujemy się:

  • Nie podejmować ani wspierać działań prawnych związanych z testowaniem;
  • Współpracować z Tobą, aby zrozumieć i szybko rozwiązać sprawę (w tym przekażemy potwierdzenie zgłoszenia w terminie 72 godzin od jego złożenia);
  • Uhonorować Twój wkład w naszej Galerii Sław Testerów Zabezpieczeń, jeżeli będziesz pierwszym zgłaszającym daną sprawę, a my dzięki temu opracujemy kod lub wprowadzimy zmiany konfiguracyjne.

Zakres

Produkty API i strony internetowe

Wyłączenia z zakresu

Wszelkie usługi udostępniane przez usługodawców zewnętrznych lub serwisy zewnętrzne są wyłączone z zakresu.

Na rzecz bezpieczeństwa naszych użytkowników, pracowników, wszystkich korzystających z internetu oraz Twojego jako testera zabezpieczeń poniższe typy testów są wyłączone z zakresu:

  • Wyniki testów fizycznych takich jak kontrola dostępu do pomieszczeń (np. otwieranie drzwi, nieupoważnione wejście do pomieszczeń za inną osobą)
  • Wyniki pochodzące głównie z inżynierii społecznej (np. phishing, vishing)
  • Wyniki z aplikacji lub systemów niewymienionych w sekcji ‘Zakres’
  • Błędy w UI i UX oraz błędy w pisowni
  • Luki dotyczące blokady usług (Dos/DDoS) na poziomie sieciowym

Informacje których nie chcemy otrzymywać:

  • Dane osobowe
  • Dane dotyczące kart płatniczych

Jak zgłosić lukę w zabezpieczeniach?

Jeśli przypuszczasz, że znalazłeś lukę w zabezpieczeniach naszych produktów lub serwisów, wyślij do nas e-mail security@silverstreet.com. Prosimy o zawarcie następujących danych w zgłoszeniu:

  • Opis lokalizacji oraz potencjalny wpływ luki na bezpieczeństwo;
  • Szczegółowy opis kroków wymaganych do odtworzenia luki (opisy POC, zrzuty ekranu i skompresowane obrazy są bardzo przydatne); oraz
  • Imię/Pseudonim oraz link do umieszczenia w Galerii Sław.
Dowiedz się więcej o
Silverstreet
Skontaktuj się z naszym zespołem