Przegląd
W Edovia bezpieczeństwo jest priorytetem i chętnie przyjmujemy odpowiedzialne zgłoszenia luk w zabezpieczeniach od badaczy bezpieczeństwa i opinii publicznej. Jeśli uważasz, że znalazłeś problem z bezpieczeństwem, obawy dotyczące prywatności lub ujawnione dane w naszych produktach lub usługach, zachęcamy do podzielenia się tym z nami. W tym dokumencie opisano sposób zgłaszania problemów z bezpieczeństwem, nasze zobowiązania i oczekiwania.
Zakres
Niniejsza polityka dotyczy:
- oprogramowania i produktów Edovia
- usług i infrastruktury obsługiwanych przez Edovia
- dokumentacji związanej z naszymi produktami
Wykluczenia
Następujące typy raportów wykraczają poza zakres niniejszej polityki:
- problemy z bezpieczeństwem fizycznym (np. dostęp do biura, nieautoryzowane wejście)
- ataki socjotechniczne (np. phishing, próby podszywania się)
- problemy w systemach, które nie zostały wyraźnie wymienione w sekcji Zakres
- problemy kosmetyczne (np. błędy interfejsu użytkownika/doświadczenia użytkownika bez wpływu na bezpieczeństwo)
- błędy typograficzne
- luki w zabezpieczeniach typu DoS/DDoS
- usługi stron trzecich, którymi nie zarządza Edovia
Jeśli odkryjesz problem w systemie spoza zakresu, zachęcamy do zgłoszenia go odpowiedniemu dostawcy lub organizacji.
Czego możesz się od nas spodziewać
Gdy w dobrej wierze zgłosisz ważny problem bezpieczeństwa, my:
- Potwierdzimy Twój raport i rozpoczniemy ocenę tak szybko, jak to możliwe
- Będziemy Cię informować o statusie Twojego raportu podczas jego przeglądu
- Będziemy pracować nad rozwiązaniem luk w zabezpieczeniach w oparciu o ich powagę i wpływ
- Zapewnimy ochronę Safe Harbor, gdy ujawnienie informacji będzie zgodne z wytycznymi zawartymi w niniejszej polityce
Wytyczne dotyczące odpowiedzialnego ujawniania informacji
Aby zapewnić odpowiedzialny i skuteczny proces ujawniania informacji, prosimy o:
- Przestrzeganie niniejszej polityki i wszelkich obowiązujących warunków podczas badania problemów z bezpieczeństwem
- Niezwłoczne zgłaszanie ustaleń i unikanie działań, które mogłyby zakłócić działanie usług lub użytkowników
- Ograniczenie testowania do tego, co jest konieczne do wykazania problemu
- Korzystanie z oficjalnych kanałów w celu komunikowania problemów z bezpieczeństwem
- Danie nam rozsądnej ilości czasu na zajęcie się problemem przed publicznym ujawnieniem
- Testowanie wyłącznie systemów w zakresie i unikanie wszelkich wyraźnie wykluczonych celów
- Korzystanie z kont testowych, które posiadasz lub na których używanie masz wyraźne pozwolenie
- Powstrzymanie się od wszelkich działań, które można by zinterpretować jako wymuszenie lub żądanie odszkodowania
Zgłaszanie problemów z bezpieczeństwem Problemy
Aby zgłosić problem dotyczący bezpieczeństwa, skorzystaj z następującego oficjalnego kanału:
https://edovia.com/.well-known/security.txt
Im więcej szczegółów podasz, tym szybciej będziemy mogli ocenić i rozwiązać problem.
Safe Harbor
Jeśli prowadzisz badania dotyczące bezpieczeństwa w dobrej wierze i zgodnie z tą polityką, będziemy:
- Uznawać Twoje badania za autoryzowane na mocy obowiązujących przepisów antyhakerskich
- Nie podejmować kroków prawnych w przypadku nieumyślnego naruszenia zasad
- Nie egzekwować przepisów antyobejściowych wobec Twoich testów
- Traktować Twoje ustalenia jako próbę poprawy bezpieczeństwa, a nie jako naruszenie naszych warunków
Jeśli osoba trzecia podejmie przeciwko Tobie kroki prawne w związku z badaniami zgodnymi z tą polityką, poinformujemy Cię, że Twoje działania były zgodne z zasadami odpowiedzialnego ujawniania informacji.
Jeśli nie masz pewności, czy Twoje testy są zgodne z tą polityką, skontaktuj się z nami przed kontynuowaniem.
Uwaga: Safe Harbor dotyczy wyłącznie roszczeń prawnych podlegających kontroli Edovia i nie obejmuje niezależnych stron trzecich.
Program nagród
Należy pamiętać, że Edovia nie uczestniczy w programach bug bounty ani innych programach nagród. Doceniamy odpowiedzialne zgłaszanie luk w zabezpieczeniach, ale obecnie nie oferujemy nagród pieniężnych ani innych zachęt.