Politika nahlasovania bezpečnostných zraniteľností

Spoločnosť Aliter Technologies berie bezpečnosť veľmi vážne a snaží sa svojim zákazníkom poskytovať bezpečné produkty a služby. Uznávame prácu širokej bezpečnostnej komunity a oceňujeme reportovanie potenciálnych bezpečnostných zraniteľností koordinovaným, konštruktívnym a transparentným spôsobom.

Rozsah

Táto politika sa vzťahuje na domény a subdomény Aliter Technologies a.s.:

Výnimky z rozsahu

Bezpečnostné testovanie a nahlasovanie zraniteľností spadajúcich do týchto oblastí je mimo relevantného rozsahu:

  • sociálne inžinierstvo (napr. phishing),

  • odopretie služby (denial of service),

  • útoky hrubou silou,

  • útoky nad rámec kontroly existencie zraniteľnosti (nekompromitujte ani nezískajte údaje, nemeňte nastavenia systému a aplikácií, nevytvárajte trvalú prítomnosť, nepokračujte v útokoch do ďalších systémov),

  • útoky týkajúce sa neaktualizovaných a nepodporovaných verzií SW,

  • zraniteľností bez preukázateľnej zneužiteľnosti, alebo dopadu (napr. je vyžadovaná autentifikácia)

  • zraniteľnosti nízkej závažnosti (napr. clickjacking, autocomplete web formulárov, SSL/TLS šifry, odhalenie verzií SW, chýbajúce HTTP hlavičky, mailové bezpečnostné techniky – SPF, DKIM, DMARC, atď.),

  • odporúčania na optimalizáciu nastavení.

Ako nahlásiť bezpečnostnú zraniteľnosť

Ak objavíte bezpečnostnú zraniteľnosť v našom systéme, alebo produkte, prosím, nahláste nám túto skutočnosť v čo najkratšom možnom čase zaslaním emailu na adresu vulnerability@aliter.com

Prosím, zašifrujte Vašu správu a jej prílohy našim PGP verejným kľúčom.

V správe, prosím, uveďte tieto informácie:

  • detailný popis zraniteľnosti.

  • čas a metódu objavenia zraniteľnosti.

  • špecifikáciu systému, alebo produktu, kde bola zraniteľnosť objavená.

  • kroky potrebné na zopakovanie zraniteľnosti.

  • akékoľvek ďalšie súvisiace informácie (vzorky kódu, záznamy z logov, screenshoty, atď…).

Proces riešenia

Nahlásené zraniteľnosti preskúmame do 5 pracovných dní a dáme oznamovateľovi vedieť naše stanovisko. Počas procesu riešenia ho budeme informovať o procese a odhadovanom čase odstránenia problému.

Právne stanovisko

Aliter Technologies vyhlasuje, že nepodnikne právne kroky proti oznamovateľom bezpečnostných zraniteľností, ktorí konajú v súlade s touto politikou.

Informácie poskytnuté oznamovateľom budeme spracovávať dôverným spôsobom a jeho osobné údaje neposkytneme bez jeho povolenia tretím stranám. Za nahlásené zraniteľnosti neposkytujeme finančnú odmenu, ale ako prejav vďaky môžeme zverejniť meno oznamovateľa na našej webovej stránke a prezentovať jeho prínos, ak s tým bude oznamovateľ súhlasiť.

Sieň slávy oznamovateľov bezpečnostných zraniteľností