Politika zverejňovania zraniteľností
Ak sa domnievate, že ste našli bezpečnostnú chybu týkajúcu sa produktu alebo služby spoločnosti STRONG, pošlite nám správu.
Od: Teinfaltstraße, 8/4 Wien, 1010 Rakúsko
Vydané v apríli 2024
Obsah
- Úvod
- Nahlasovanie
- Čo môžete očakávať
- Usmernenie
- Právne aspekty
Úvod
Tieto zásady zverejňovania zraniteľností sa vzťahujú na všetky zraniteľnosti, ktoré zvažujete nahlásiť spoločnosti STRONG. Odporúčame, aby ste si pred nahlásením zraniteľnosti prečítali tieto zásady zverejňovania zraniteľností v plnom rozsahu a vždy konali v súlade s nimi.
Vážime si tých, ktorí venujú čas a úsilie nahlasovaniu bezpečnostných chýb podľa týchto zásad. Za odhalenie zraniteľností však neponúkame peňažné odmeny
Nahlasovanie
Ak sa domnievate, že ste našli bezpečnostnú chybu, pošlite nám svoje hlásenie prostredníctvom nasledujúceho kontaktného formulára a vyberte si charakter "Porušenie bezpečnosti": *****(lien formulaire de contact)*****
Čo môžete očakávať
Po odoslaní hlásenia vám odpovieme do 5 pracovných dní a do 10 pracovných dní sa budeme snažiť vaše hlásenie vyriešiť. Budeme sa tiež snažiť vás informovať o našom postupe.
Priorita nápravy sa posudzuje na základe vplyvu, závažnosti a zložitosti zneužitia. Triaging alebo riešenie hlásení o zraniteľnostiach môže trvať určitý čas, v niektorých prípadoch môže náprava trvať až 90 dní a viac. Môžete sa informovať o stave, ale nemali by ste tak robiť častejšie ako raz za 14 dní. To umožní našim tímom sústrediť sa na nápravu.
Po odstránení nahlásenej zraniteľnosti vás budeme informovať a môžeme vás vyzvať, aby ste potvrdili, že riešenie dostatočne pokrýva zraniteľnosť.
Po vyriešení vašej zraniteľnosti privítame žiadosti o zverejnenie vašej správy. Radi by sme zjednotili pokyny pre dotknutých používateľov, preto s nami naďalej koordinujte zverejňovanie.
Usmernenie
Nesmiete:
- porušovať platné zákony alebo predpisy.
- prístup k nepotrebným, nadmerným alebo významným množstvám údajov.
- upravovať údaje v systémoch alebo službách spoločnosti STRONG.
- používať vysoko intenzívne invazívne alebo deštruktívne skenovacie nástroje na vyhľadávanie zraniteľností.
- pokúsiť sa o akúkoľvek formu odmietnutia služby alebo ju nahlásiť, napríklad zahltenie služby veľkým množstvom požiadaviek.
- narušiť služby alebo systémy spoločnosti STRONG.
- predkladať správy s podrobnými informáciami o zraniteľnostiach, ktoré sa nedajú zneužiť, alebo správy, ktoré naznačujú, že služby nie sú úplne v súlade s "osvedčenými postupmi", napríklad chýbajúce bezpečnostné hlavičky.
- oznamovať akékoľvek zraniteľnosti alebo súvisiace podrobnosti inak ako prostriedkami opísanými v týchto zásadách.
- sociálny inžinier, phishing alebo fyzický útok na zamestnancov organizácie alebo jej infraštruktúru.
- požadovať finančnú kompenzáciu za odhalenie akýchkoľvek zraniteľností.
Musíte:
- vždy dodržiavať pravidlá ochrany údajov a nesmie porušovať súkromie používateľov, zamestnancov, dodávateľov, služieb alebo systémov spoločnosti STRONG. Nesmiete napríklad zdieľať, ďalej šíriť alebo riadne nezabezpečovať údaje získané zo systémov alebo služieb.
- bezpečne vymazať všetky údaje získané počas vášho výskumu hneď, ako už nebudú potrebné, alebo do 1 mesiaca od vyriešenia zraniteľnosti, podľa toho, čo nastane skôr (alebo ako sa inak vyžaduje podľa zákona o ochrane údajov).
Právne aspekty
Táto politika je navrhnutá tak, aby bola v súlade s bežnou praxou zverejňovania zraniteľností. Nedáva vám povolenie konať spôsobom, ktorý je v rozpore so zákonom alebo ktorý by mohol spôsobiť, že organizácia alebo partnerské organizácie porušia akékoľvek právne povinnosti.
Ak však proti vám tretia strana začne právne konanie a vy ste postupovali v súlade s týmito zásadami, môžeme podniknúť kroky, aby sme zistili, že vaše konanie bolo vykonané v súlade s týmito zásadami.
Ďakujeme, že pomáhate udržiavať spoločnosť STRONG a našich zákazníkov v bezpečí!