Политика откривања рањивости
Ако верујете да сте пронашли безбедносни пропуст у вези са СНАЖНИМ производом или услугом, пошаљите нам свој извештај.
Од: СТРОНГ Гес.мбХ, Теинфалтстраßе, 8/4 Виен, Виен, 1010 Аустрија
Објављено априла 2024
Садржај
- Увод
- Извештавање
- Шта очекивати
- Гуиданце
- Легалитиес
Увод
Ова политика откривања рањивости се примењује на све рањивости које намеравате да пријавите СТРОНГ-у. Препоручујемо да у потпуности прочитате ову политику откривања рањивости пре него што пријавите рањивост и да увек поступате у складу са њом.
Ценимо оне који одвоје време и труд да пријаве безбедносне пропусте у складу са овом политиком. Међутим, не нудимо новчане награде за откривање рањивости
Извештавање
Ако верујете да сте пронашли безбедносну рањивост, пошаљите нам своју пријаву користећи следећи образац за контакт и бирајући природу „пропуста безбедности“: ***** (лиен формулаире де цонтацт)*****
Шта очекивати
Након што поднесете свој извештај, ми ћемо одговорити на ваш извештај у року од 5 радних дана и настојаћемо да тријажемо ваш извештај у року од 10 радних дана. Такође ћемо настојати да вас обавештавамо о нашем напретку.
Приоритет санације се процењује посматрањем утицаја, озбиљности и сложености експлоатације. Може потрајати неко време за тријажу или адресирање извештаја о рањивости, у неким случајевима санација може потрајати до 90 дана или више. Можете се распитати о статусу, али избегавајте да то радите више од једном у 14 дана. Ово омогућава нашим тимовима да се фокусирају на санацију.
Обавестићемо вас када пријављена рањивост буде отклоњена и можда ћете бити позвани да потврдите да решење покрива рањивост на адекватан начин.
Када се ваша рањивост реши, поздрављамо захтеве за откривање вашег извештаја. Желели бисмо да објединимо упутства за погођене кориснике, па вас молимо да наставите да са нама координирате јавно објављивање.
Гуиданце
НЕ смете:
- прекршити било који важећи закон или прописе
- приступ непотребним, прекомерним или значајним количинама података
- модификовати податке у системима или услугама СТРОНГ-а
- користите инвазивне или деструктивне алате за скенирање високог интензитета да бисте пронашли рањивости
- покушај или пријави било који облик ускраћивања услуге, на пример, преоптерећење услуге великим бројем захтева
- ометају СТРОНГ-ове услуге или системе
- подношење извештаја са детаљима о рањивостима које се не могу искористити или извештајима који указују на то да услуге нису у потпуности усклађене са „најбољом праксом“, на пример, недостају безбедносна заглавља
- саопштити све рањивости или повезане детаље осим на начин описан у овој Политици
- социјални инжењер, 'пхисх' или физички нападају особље или инфраструктуру Организације
- захтевају финансијску компензацију како би открили све рањивости
Морате:
- увек поштују правила заштите података и не смеју да нарушавају приватност СТРОНГ-ових корисника, особља, извођача, услуга или система. Не смете, на пример, делити, редистрибуирати или пропустити да правилно обезбедите податке преузете из система или услуга.
- безбедно избришите све податке преузете током вашег истраживања чим више нису потребни или у року од 1 месеца од отклањања рањивости, шта год се прво догоди (или како то на други начин захтева закон о заштити података).
Легалитиес
Ова политика је дизајнирана да буде компатибилна са уобичајеном добром праксом откривања рањивости. Не даје вам дозволу да поступате на било који начин који није у складу са законом, или који би могао довести до тога да Организација или партнерске организације прекрше било коју законску обавезу.
Међутим, ако трећа страна покрене правни поступак против вас и ви сте се придржавали ове политике, можемо предузети кораке да ставимо до знања да су ваше радње спроведене у складу са овом политиком.
Хвала вам што помажете да СТРОНГ и наши клијенти буду безбедни!