Politica de divulgare a vulnerabilităților (VDP)

Apreciem cercetarea în domeniul securității și încurajăm raportările făcute cu bună-credință. În acest moment nu acceptăm teste de penetrare externe în acest moment.

Domeniu de aplicare

• skyalo.com, *.skyalo.com

• Aplicațiile mobile Skyalo (cele mai recente versiuni publice)

În afara domeniului de aplicare: servicii terțe, DoS/inundare cu trafic, brute force, inginerie socială, atacuri fizice, spam/rapoarte DMARC, divulgarea versiunii fără impact, clickjacking fără impact demonstrat, lipsa headerelor de securitate fără exploit.

Reguli de angajament

• Acționați cu bună-credință și evitați încălcările confidențialității sau degradarea serviciului.

• Folosiți doar propriile conturi/date.

• Nu accesați și nu modificați date care nu vă aparțin. Dacă accesați neintenționat date nepublice, opriți-vă imediat și anunțați-ne.

• Fără scanare automată care afectează disponibilitatea sau stabilitatea.

Cum să raportați

Trimiteți un email la [email protected] cu:

• Gazda/endpoint-ul afectat și mediul

• Pași clari de reproducere

• PoC minim (cerere/răspuns HTTP, capturi de ecran)

• Evaluarea impactului și severitatea estimată (CVSS v3.1 preferat)

• Intervalul orar al testării și IP-urile sursă

Vă rugăm să nu includeți secrete (credite de autentificare, tokenuri, dump-uri brute ale bazei de date) în email; redactați sau mascați datele sensibile. Dacă aveți nevoie de criptare, contactați-ne și vom stabili o metodă sigură.

Safe Harbor

Dacă respectați această politică, nu vom iniția acțiuni legale și vom considera cercetarea dvs. autorizată în scopul limitat al raportării problemei.

Recompense și recunoaștere

În prezent nu oferim recompense financiare. Pentru probleme confirmate, neduplicate, oferim recunoaștere publică (Hall of Fame) și, la cerere, o scrisoare de apreciere. Raportările duplicate pot fi închise fără recunoaștere suplimentară; meritul revine primei raportări valide pe care o primim.

Termene și SLA-uri

• Confirmare de primire: în termen de 3 zile lucrătoare

• Actualizare status triere: după evaluare

• Divulgare coordonată: vă rugăm să nu publicați detalii până când există un fix disponibil (până la 90 de zile)

Remediere țintă: Critic: 7 zile; Ridicat: 30 de zile; Mediu: 90 de zile; Scăzut: backlog/conform programării.