Polityka ujawniania podatności (VDP)

Doceniamy badania bezpieczeństwa i z zadowoleniem przyjmujemy zgłoszenia w dobrej wierze. Obecnie nie przyjmujemy zewnętrznych testów penetracyjnych w tej chwili.

Zakres

• skyalo.com, *.skyalo.com

• Aplikacje mobilne Skyalo (najnowsze publiczne wersje)

Poza zakresem: usługi firm trzecich, DoS/zalewanie ruchem, brute force, socjotechnika, ataki fizyczne, spam/zgłoszenia DMARC, ujawnianie wersji bez wpływu, clickjacking bez wykazanego wpływu, brak nagłówków bezpieczeństwa bez exploita.

Zasady współpracy

• Działaj w dobrej wierze i unikaj naruszeń prywatności lub pogorszenia działania usługi.

• Korzystaj wyłącznie z własnych kont/danych.

• Nie uzyskuj dostępu do danych, które nie należą do Ciebie, ani ich nie modyfikuj. Jeśli nieumyślnie uzyskasz dostęp do niepublicznych danych, natychmiast przerwij i powiadom nas.

• Zakaz automatycznego skanowania wpływającego na dostępność lub stabilność.

Jak zgłosić

E-mail [email protected] z:

• Dotknięty host/endpoint i środowisko

• Jasne kroki odtworzenia

• Minimalne PoC (żądanie/odpowiedź HTTP, zrzuty ekranu)

• Ocena wpływu i szacowana waga (preferowane CVSS v3.1)

• Okno czasowe testów i źródłowe adresy IP

Prosimy nie dołączać sekretów (danych logowania, tokenów, surowych zrzutów bazy danych) w e-mailu; usuń lub zamaskuj dane wrażliwe. Jeśli potrzebujesz szyfrowania, skontaktuj się z nami, a ustalimy bezpieczną metodę.

Safe Harbor

Jeśli stosujesz się do tej polityki, nie podejmiemy działań prawnych i uznamy Twoje badania za autoryzowane w ograniczonym celu zgłoszenia problemu.

Nagrody i wyróżnienia

Obecnie nie oferujemy nagród pieniężnych. Za potwierdzone, niepowielone zgłoszenia oferujemy publiczne wyróżnienie (Hall of Fame) oraz, na życzenie, list z podziękowaniem. Duplikaty mogą zostać zamknięte bez dodatkowego wyróżnienia; uznanie otrzymuje pierwsze poprawne zgłoszenie, które do nas dotrze.

Terminy i SLA

• Potwierdzenie odbioru: w ciągu 3 dni roboczych

• Aktualizacja statusu triage: po weryfikacji

• Ujawnienie skoordynowane: prosimy wstrzymać się z publicznymi szczegółami do czasu udostępnienia poprawki (do 90 dni)

Docelowy czas naprawy: Krytyczny: 7 dni; Wysoki: 30 dni; Średni: 90 dni; Niski: backlog/zgodnie z harmonogramem.