Policy för avslöjande av sårbarheter
Om du tror att du har hittat en säkerhetsbrist som rör en STRONG-produkt eller tjänst, vänligen skicka din rapport till oss.
Från: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Österrike
Publicerad april 2024
Innehåll
- Inledning
- Rapportering
- Vad du kan förvänta dig
- Vägledning
- Juridiska frågor
Inledning
Denna policy för avslöjande av sårbarheter gäller för alla sårbarheter som du överväger att rapportera till STRONG. Vi rekommenderar att du läser denna policy för avslöjande av sårbarhet helt innan du rapporterar en sårbarhet och alltid agerar i enlighet med den.
Vi värdesätter dem som tar sig tid och anstränger sig för att rapportera säkerhetsproblem i enlighet med denna policy. Vi erbjuder dock inga monetära belöningar för avslöjanden av sårbarheter
Rapportering
Om du tror att du har hittat en säkerhetsbrist, vänligen skicka din rapport till oss med hjälp av följande kontaktformulär och välj "Säkerhetsbrist": *****(lien formulaire de contact)*****
Vad du kan förvänta dig
Efter att du har skickat in din rapport kommer vi att svara på din rapport inom 5 arbetsdagar och sträva efter att triagera din rapport inom 10 arbetsdagar. Vi strävar också efter att hålla dig informerad om våra framsteg.
Prioritet för avhjälpande bedöms genom att titta på påverkan, allvarlighetsgrad och exploateringskomplexitet. Sårbarhetsrapporter kan ta lite tid att triagera eller åtgärda, i vissa fall kan det ta upp till 90 dagar eller mer. Du är välkommen att fråga om statusen men bör undvika att göra det mer än en gång var 14:e dag. Detta gör att våra team kan fokusera på att åtgärda problemen.
Vi meddelar dig när den rapporterade sårbarheten har åtgärdats, och du kan bli inbjuden att bekräfta att lösningen täcker sårbarheten på ett adekvat sätt.
När din sårbarhet har åtgärdats välkomnar vi förfrågningar om att offentliggöra din rapport. Vi vill gärna förenhetliga vägledningen till berörda användare, så fortsätt gärna att samordna offentliggörande med oss.
Vägledning
Du får INTE:
- bryta mot tillämpliga lagar eller förordningar
- få tillgång till onödiga, överdrivna eller betydande mängder data
- ändra data i STRONG:s system eller tjänster
- använda högintensiva invasiva eller destruktiva skanningsverktyg för att hitta sårbarheter
- försöka eller rapportera någon form av "denial of service", t.ex. att överbelasta en tjänst med en hög volym förfrågningar
- störa STRONG:s tjänster eller system
- lämna in rapporter som beskriver sårbarheter som inte kan utnyttjas eller rapporter som visar att tjänsterna inte helt överensstämmer med "bästa praxis", till exempel avsaknad av säkerhetsrubriker
- kommunicera sårbarheter eller tillhörande information på annat sätt än vad som beskrivs i denna policy
- utföra social ingenjörskonst, "phisha" eller fysiskt angripa organisationens personal eller infrastruktur
- kräva ekonomisk kompensation för att avslöja eventuella sårbarheter
Det måste du:
- alltid följa dataskyddsregler och får inte kränka integriteten hos STRONGs användare, personal, entreprenörer, tjänster eller system. Du får till exempel inte dela, omfördela eller misslyckas med att korrekt säkra data som hämtas från systemen eller tjänsterna.
- på ett säkert sätt radera alla uppgifter som hämtats in under din undersökning så snart de inte längre behövs eller inom 1 månad efter att sårbarheten har åtgärdats, beroende på vilket som inträffar först (eller enligt vad som annars krävs enligt dataskyddslagstiftningen).
Juridiska frågor
Denna policy är utformad för att vara förenlig med god praxis för upplysning om allmän sårbarhet. Den ger dig inte tillåtelse att agera på något sätt som är oförenligt med lagen eller som kan leda till att organisationen eller partnerorganisationer bryter mot några rättsliga skyldigheter.
Om en tredje part inleder rättsliga åtgärder mot dig och du har följt denna policy, kan vi dock vidta åtgärder för att göra det känt att dina handlingar har utförts i enlighet med denna policy.
Tack för att du hjälper till att hålla STRONG och våra kunder säkra!