Politika otkrivanja ranjivosti
Ako vjerujete da ste pronašli sigurnosnu ranjivost koja se odnosi na STRONG proizvod ili uslugu, pošaljite nam svoje izvješće.
Od: STRONG Ges.mbH, Teinfaltstraße, 8/4 Wien, Wien, 1010 Austrija
Objavljeno u travnju 2024
Sadržaj
- Uvod
- Izvještavanje
- Što očekivati
- vođenje
- Zakonitosti
Uvod
Ova politika otkrivanja ranjivosti odnosi se na sve ranjivosti koje planirate prijaviti STRONG-u. Preporučamo da u cijelosti pročitate ovu politiku otkrivanja ranjivosti prije nego što prijavite ranjivost i uvijek se ponašate u skladu s njom.
Cijenimo one koji odvoje vrijeme i trud da prijave sigurnosne propuste u skladu s ovom politikom. Međutim, ne nudimo novčane nagrade za otkrivanje ranjivosti
Izvještavanje
Ako vjerujete da ste pronašli sigurnosnu ranjivost, pošaljite nam svoje izvješće pomoću sljedećeg obrasca za kontakt i odabirom vrste "Kršenje sigurnosti": ***** (lien formulaire de contact)*****
Što očekivati
Nakon što pošaljete svoje izvješće, odgovorit ćemo na vaše izvješće u roku od 5 radnih dana i trudit ćemo se da pregledamo vaše izvješće u roku od 10 radnih dana. Također ćemo nastojati da vas obavještavamo o našem napretku.
Prioritet sanacije procjenjuje se promatranjem utjecaja, ozbiljnosti i složenosti korištenja. Triaža ili rješavanje izvješća o ranjivostima može potrajati neko vrijeme, u nekim slučajevima sanacija može potrajati do 90 dana ili više. Slobodno se raspitajte o statusu, ali nemojte to činiti više od jednom svakih 14 dana. To omogućuje našim timovima da se usredotoče na sanaciju.
Obavijestit ćemo vas kada prijavljena ranjivost bude ispravljena, a možda ćete biti pozvani da potvrdite da rješenje pokriva ranjivost na odgovarajući način.
Nakon što je vaša ranjivost riješena, pozdravljamo zahtjeve za otkrivanje vašeg izvješća. Željeli bismo objediniti smjernice za pogođene korisnike, pa vas molimo da nastavite s nama koordinirati javno objavljivanje.
vođenje
NE smijete:
- prekršiti bilo koji važeći zakon ili propise
- pristupati nepotrebnim, prekomjernim ili značajnim količinama podataka
- mijenjati podatke u STRONG-ovim sustavima ili uslugama
- koristiti invazivne ili destruktivne alate visokog intenziteta za pronalaženje ranjivosti
- pokušati ili prijaviti bilo koji oblik uskraćivanja usluge, na primjer, preopterećenje usluge velikom količinom zahtjeva
- ometati STRONG-ove usluge ili sustave
- podnesite izvješća s pojedinostima o ranjivostima koje se ne mogu iskoristiti ili izvješća koja pokazuju da usluge nisu u potpunosti usklađene s "najboljom praksom", na primjer nedostaju sigurnosna zaglavlja
- priopćiti sve ranjivosti ili povezane pojedinosti na način koji nije opisan u ovoj Politici
- socijalni inženjer, 'phish' ili fizički napadati osoblje ili infrastrukturu Organizacije
- zahtijevati financijsku naknadu kako bi se otkrile sve ranjivosti
Morate:
- uvijek poštivati pravila o zaštiti podataka i ne smije kršiti privatnost STRONG-ovih korisnika, osoblja, izvođača, usluga ili sustava. Ne smijete, primjerice, dijeliti, redistribuirati ili propustiti pravilno osigurati podatke dohvaćene iz sustava ili usluga.
- sigurno izbrisati sve podatke dohvaćene tijekom vašeg istraživanja čim više nisu potrebni ili u roku od 1 mjeseca od uklanjanja ranjivosti, ovisno o tome što se dogodi prije (ili kako zahtijeva zakon o zaštiti podataka).
Zakonitosti
Ova je politika osmišljena da bude kompatibilna s uobičajenom dobrom praksom otkrivanja ranjivosti. Ne daje vam dopuštenje da djelujete na bilo koji način koji nije u skladu sa zakonom ili koji bi mogao dovesti do toga da Organizacija ili partnerske organizacije prekrše bilo koju zakonsku obvezu.
Međutim, ako treća strana pokrene pravni postupak protiv vas, a vi ste se pridržavali ove politike, možemo poduzeti korake kako bismo dali do znanja da su vaše radnje provedene u skladu s ovom politikom.
Hvala vam što nam pomažete da STRONG i naši kupci budu sigurni!