Usmernenia pre zodpovedné zverejňovanie informácií
Anglická verzia: https: //www.clonable.sk/.well-known/responsible-disclosure.txt
V spoločnosti Clonable považujeme bezpečnosť našich systémov za veľmi dôležitú. Napriek tomu, že dbáme na bezpečnosť našich systémov, môže sa stať, že sa v nich objaví slabé miesto.
Ak ste v niektorom z našich systémov našli slabé miesto, radi by sme sa o ňom dozvedeli, aby sme mohli čo najskôr prijať opatrenia. Radi by sme s vami spolupracovali na lepšej ochrane našich zákazníkov a našich systémov.
Pýtame sa vás:
- Svoje zistenia pošlite na adresu security@clonable.net,
- Nenahlasovať chýbajúce osvedčené postupy (napr. žiadne hsts, chýbajúce bezpečnostné hlavičky), pokiaľ nepredstavujú skutočné, preukázateľné a významné riziko,
- nezneužívať problém napríklad sťahovaním väčšieho množstva údajov, než je potrebné na preukázanie úniku, alebo prístupom k údajom tretích strán, ich vymazávaním alebo úpravou.
- Až do vyriešenia problému ho nezdieľajte s ostatnými a okamžite po jeho vyriešení odstráňte všetky dôverné údaje získané únikom,
- nepoužívať útoky na fyzickú bezpečnosť, sociálne inžinierstvo, distribuované odmietnutie služby, spam alebo aplikácie tretích strán a
- Poskytnite dostatočné informácie na reprodukciu problému, aby sme ho mohli čo najskôr odstrániť. Zvyčajne stačí IP adresa alebo URL adresa postihnutého systému a opis zraniteľnosti, ale v prípade zložitejších zraniteľností sa môže vyžadovať viac.
Čo sľubujeme:
- Na vašu správu odpovieme do 5 pracovných dní a uvedieme naše posúdenie správy a predpokladaný termín riešenia,
- Ak ste splnili vyššie uvedené podmienky, nepodnikneme voči vám žiadne právne kroky v súvislosti s touto správou,
- S vašou správou budeme zaobchádzať dôverne a nebudeme vaše osobné údaje poskytovať tretím stranám bez vášho súhlasu, pokiaľ to nebude nevyhnutné na splnenie zákonnej povinnosti. Je možné podať správu pod pseudonymom,
- O priebehu riešenia problému vás budeme informovať,
- Pri nahlasovaní nahláseného problému uvedieme vaše meno ako objaviteľa, ak si to želáte, a
- Ako poďakovanie za vašu pomoc ponúkame zápis do našej "siene slávy" za každé nahlásenie bezpečnostného problému, o ktorom sme doteraz nevedeli. V závislosti od veľkosti problému a kvality správy môže vaše meno obsahovať odkaz podľa vášho výberu.