Odpowiedzialność w zakresie ujawniania informacji

Zgłaszanie luk w zabezpieczeniach


W firmie Action traktujemy bezpieczeństwo naszych systemów priorytetowo. Ale bez względu na to, ile wysiłku wkładamy w bezpieczeństwo systemu, nadal mogą występować luki.

Przykłady luk w zabezpieczeniach, które mogą zostać zgłoszone:

  • Luki w zabezpieczeniach skryptów krzyżowych
  • Luki w zabezpieczeniach SQL
  • Słabe szyfrowanie
  • Itd.

Jeśli odkryjesz lukę w zabezpieczeniach, chcielibyśmy się o tym dowiedzieć, abyśmy mogli jak najszybciej podjąć odpowiednie kroki. Chcielibyśmy prosić Cię o pomoc w lepszej ochronie naszych klientów i systemów.

Prosimy wykonać następujące czynności:

  • Prześlij mailem swoje obserwacje na adres [email protected] Najlepiej zaszyfruj swoje ustalenia za pomocą naszego klucza PGP, aby zapobiec dostaniu się tych krytycznych informacji w niepowołane ręce.

Klucz PGP: Pobierz

Odcisk palca PGP: 797A CBB9 4E72 DA2B 85EB 422D 45D2 1BB2 DF1C 268D

  • Nie korzystaj z wykrytej luki czy problemu, na przykład pobierając więcej danych niż jest to konieczne do wykazania luki lub usunięcia czy zmodyfikowania danych;
  • Nie ujawniaj problemu innym osobom do czasu jego rozwiązania;
  • Nie używaj ataków bezpieczeństwa fizycznego, socjotechniki, rozproszonej odmowy usług, spamu lub aplikacji osób trzecich; oraz
  • Dostarcz informacje wystarczające do odtworzenia problemu, abyśmy mogli rozwiązać go tak szybko, jak to możliwe. Zazwyczaj adres IP lub adres URL, którego dotyczy problem oraz opis luki będą wystarczające, jednak złożone luki mogą wymagać dalszych wyjaśnień.

Co obiecujemy:

  • Odpowiemy na Twoje zgłoszenie w ciągu 15 dni roboczych dostarczając naszą ocenę zgłoszenia oraz oczekiwany termin rozwiązania problemu;
  • Jeśli zastosowałeś się do powyższych instrukcji, nie podejmiemy żadnych działań prawnych przeciwko Tobie w związku ze zgłoszeniem;
  • Zajmiemy się Twoim zgłoszeniem z zachowaniem ścisłych zasad poufności i nie przekażemy Twoich danych osobowych osobom trzecim bez Twojej zgody;
  • Będziemy Cię informować o postępach w rozwiązywaniu problemu;
  • W komunikacji zewnętrznej dotyczącej zgłoszonego problemu podamy Twoje imię i nazwisko jako odkrywcy problemu, chyba że postanowisz inaczej; oraz
  • Zdecydujemy, czy w przypadku zgłoszonego problemu przyznana zostanie nagroda. Warunkiem tego jest zaistnienie uzasadnionego problemu o innowacyjnym i istotnym charakterze.

    Staramy się rozwiązywać wszystkie problemy tak szybko, jak to możliwe i chcielibyśmy odgrywać aktywną rolę w ostatecznej publikacji problemu po jego rozwiązaniu (jeśli podjęta zostanie taka decyzja).

Prywatność

  • Jeśli Twoje zgłoszenie nie będzie anonimowe, w razie potrzeby poprosimy o podanie danych kontaktowych.
  • Bez Twojej zgody nie ujawnimy Twojej tożsamości osobom trzecim i będziemy wykorzystywać Twoje dane osobowe wyłącznie w celu śledzenia Twojego zgłoszenia.
  • Potrzebujemy Twoich danych osobowych do przyznania nagrody w stosownym przypadku.