Översikt
Hos Edovia är säkerhet en prioritet, och vi välkomnar ansvarsfulla rapporter om sårbarheter från säkerhetsforskare och allmänheten. Om du tror att du har hittat ett säkerhetsproblem, sekretessproblem eller exponerad data i våra produkter eller tjänster, uppmuntrar vi dig att dela det med oss. Det här dokumentet beskriver hur man rapporterar säkerhetsproblem, våra åtaganden och förväntningar.
Omfattning
Denna policy gäller för:
- Edovia programvara och produkter
- Edovia-drivna tjänster och infrastruktur
- Dokumentation relaterad till våra produkter
Undantag
Följande typer av rapporter faller utanför denna policy:
- Fysiska säkerhetsproblem (t.ex. kontorsåtkomst, obehörigt inträde)
- Sociala ingenjörsattacker (t.ex. nätfiske, identitetsförsök)
- Problem i system som inte uttryckligen anges i avsnittet Omfattning
- Kosmetiska problem (t.ex. UI/UX-buggar utan säkerhetspåverkan)
- Typografiska fel
- Denial of Service (DoS/DDoS) sårbarheter
- Tredjepartstjänster som inte hanteras av Edovia
Om du upptäcker ett problem i ett system utanför räckvidden rekommenderar vi att du rapporterar det till lämplig leverantör eller organisation.
Vad du kan förvänta dig av oss
När du rapporterar ett giltigt säkerhetsproblem i god tro kommer vi:
- Bekräfta din rapport och påbörja bedömningen så snabbt som möjligt
- Håll dig informerad om statusen för din rapport medan den granskas
- Arbeta för att lösa säkerhetsbrister baserat på deras svårighetsgrad och påverkan
- Ge Safe Harbor-skydd när avslöjandet följer riktlinjerna i denna policy
Riktlinjer för ansvarsfullt offentliggörande
För att säkerställa en ansvarsfull och effektiv avslöjandeprocess ber vi dig:
- Följ denna policy och alla tillämpliga villkor när du undersöker säkerhetsproblem
- Rapportera resultat omgående och undvik åtgärder som kan störa tjänster eller användare
- Begränsa testning till vad som är nödvändigt för att visa ett problem
- Använd officiella kanaler för att kommunicera säkerhetsproblem
- Ge oss en rimlig tid på oss att ta itu med frågan innan det offentliggörs
- Testa endast system inom räckvidden och undvik explicit uteslutna mål
- Använd testkonton som du äger eller har uttryckligt tillstånd att använda
- Avstå från alla handlingar som kan tolkas som utpressning eller krav på ersättning
Rapportera säkerhetsproblem
För att rapportera ett säkerhetsproblem, använd följande officiella kanal:
https://edovia.com/.well-known/security.txt
Ju mer information du anger, desto snabbare kan vi utvärdera och åtgärda problemet.
Säker hamn
Om du utför säkerhetsundersökningar i god tro och i linje med denna policy kommer vi att:
- Anse att din forskning är godkänd enligt tillämpliga anti-hackinglagar
- Inte föra rättsliga åtgärder för oavsiktliga policyöverträdelser – Genomför inte lagar mot kringgående av dina tester
- Behandla dina resultat som ett försök att förbättra säkerheten, inte som ett brott mot våra villkor
Om en tredje part vidtar rättsliga åtgärder mot dig för forskning som är anpassad till denna policy kommer vi att meddela att dina handlingar följt principerna för ansvarsfull information.
Om du är osäker på om din testning överensstämmer med denna policy, vänligen kontakta oss innan du fortsätter.
Obs! Safe Harbor gäller endast för juridiska anspråk under Edovias kontroll och omfattar inte oberoende tredje parter.
Belöningsprogram
Observera att Edovia inte deltar i något bug bounty- eller belöningsprogram. Vi uppskattar ansvarsfulla rapporter om sårbarheter, men erbjuder för närvarande ingen ekonomisk ersättning eller andra incitament.