Zásady odpovědného zveřejňování zranitelností (VDP)

Bezpečnostní výzkum oceňujeme a přijímáme poctivé hlášení. Externí pentesty nyní nepřijímáme.

Rozsah

• skyalo.com*.skyalo.com

• Mobilní aplikace Skyalo (aktuální veřejné verze)

Mimo rozsah: služby třetích stran, DoS/flooding, brute force, sociální inženýrství, fyzické útoky, spam/DMARC reporty, odhalení verzí bez dopadu, clickjacking bez prokázaného dopadu, chybějící hlavičky bez exploitu.

Pravidla

• Jednejte poctivě, vyhněte se zásahům do soukromí a zhoršení dostupnosti služby.

• Používejte pouze své vlastní účty/data.

• Nezískávejte ani neupravujte data, která vám nepatří. Při náhodném přístupu okamžitě přestaňte a dejte nám vědět.

• Nepoužívejte automatizované skenování, které ovlivňuje dostupnost nebo stabilitu.

Jak poslat report

Pište na [email protected], přiložte:

• Zasažený host/end-point a prostředí

• Jasné kroky k reprodukci

• Minimální PoC (HTTP požadavek/odpověď, screenshoty)

• Odhad dopadu a závažnosti (ideálně CVSS v3.1)

• Testovací okno a výchozí IP adresy

Nezasílejte e-mailem žádná tajemství (přihlašovací údaje, tokeny, databázové dumpy) — citlivé údaje začerněte.

Safe Harbor

Při dodržení těchto zásad proti vám nebudeme podnikat právní kroky a vaše jednání budeme považovat za autorizované pro účely nahlášení.

Odměny a uznání

Peněžní odměny nyní nejsou k dispozici. Za potvrzené, neduplikované reporty — veřejné poděkování (Hall of Fame) a na vyžádání i děkovný dopis. Duplikáty mohou být uzavřeny bez dalšího uznání; kredit získává první platný report.

Lhůty a SLA

• Potvrzení přijetí: do 3 pracovních dnů

• Stav po triage: dle výsledku posouzení

• Koordinované zveřejnění: prosíme nepublikovat detaily do vydání opravy (až 90 dnů)

Cíle pro opravy: Critical — 7 dnů; High — 30 dnů; Medium — 90 dnů; Low — podle plánu.