Politika nahlasovania bezpečnostných zraniteľností
Spoločnosť Aliter Technologies berie bezpečnosť veľmi vážne a snaží sa svojim zákazníkom poskytovať bezpečné produkty a služby. Uznávame prácu širokej bezpečnostnej komunity a oceňujeme reportovanie potenciálnych bezpečnostných zraniteľností koordinovaným, konštruktívnym a transparentným spôsobom.
Rozsah
Táto politika sa vzťahuje na domény a subdomény Aliter Technologies a.s.:
Výnimky z rozsahu
Bezpečnostné testovanie a nahlasovanie zraniteľností spadajúcich do týchto oblastí je mimo relevantného rozsahu:
sociálne inžinierstvo (napr. phishing),
odopretie služby (denial of service),
útoky hrubou silou,
útoky nad rámec kontroly existencie zraniteľnosti (nekompromitujte ani nezískajte údaje, nemeňte nastavenia systému a aplikácií, nevytvárajte trvalú prítomnosť, nepokračujte v útokoch do ďalších systémov),
útoky týkajúce sa neaktualizovaných a nepodporovaných verzií SW,
zraniteľností bez preukázateľnej zneužiteľnosti, alebo dopadu (napr. je vyžadovaná autentifikácia)
zraniteľnosti nízkej závažnosti (napr. clickjacking, autocomplete web formulárov, SSL/TLS šifry, odhalenie verzií SW, chýbajúce HTTP hlavičky, mailové bezpečnostné techniky – SPF, DKIM, DMARC, atď.),
odporúčania na optimalizáciu nastavení.
Ako nahlásiť bezpečnostnú zraniteľnosť
Ak objavíte bezpečnostnú zraniteľnosť v našom systéme, alebo produkte, prosím, nahláste nám túto skutočnosť v čo najkratšom možnom čase zaslaním emailu na adresu vulnerability@aliter.com
Prosím, zašifrujte Vašu správu a jej prílohy našim PGP verejným kľúčom.
V správe, prosím, uveďte tieto informácie:
detailný popis zraniteľnosti.
čas a metódu objavenia zraniteľnosti.
špecifikáciu systému, alebo produktu, kde bola zraniteľnosť objavená.
kroky potrebné na zopakovanie zraniteľnosti.
akékoľvek ďalšie súvisiace informácie (vzorky kódu, záznamy z logov, screenshoty, atď…).
Proces riešenia
Nahlásené zraniteľnosti preskúmame do 5 pracovných dní a dáme oznamovateľovi vedieť naše stanovisko. Počas procesu riešenia ho budeme informovať o procese a odhadovanom čase odstránenia problému.
Právne stanovisko
Aliter Technologies vyhlasuje, že nepodnikne právne kroky proti oznamovateľom bezpečnostných zraniteľností, ktorí konajú v súlade s touto politikou.
Informácie poskytnuté oznamovateľom budeme spracovávať dôverným spôsobom a jeho osobné údaje neposkytneme bez jeho povolenia tretím stranám. Za nahlásené zraniteľnosti neposkytujeme finančnú odmenu, ale ako prejav vďaky môžeme zverejniť meno oznamovateľa na našej webovej stránke a prezentovať jeho prínos, ak s tým bude oznamovateľ súhlasiť.
Sieň slávy oznamovateľov bezpečnostných zraniteľností