Politika zodpovedného zverejňovania zraniteľností (VDP)

Vážime si bezpečnostný výskum a prijímame hlásenia v dobrej viere. Externé penetračné testy momentálne neprijímame.

Rozsah

• skyalo.com , *.skyalo.com

• Mobilné aplikácie Skyalo (aktuálne verejné verzie)

Mimo rozsahu: služby tretích strán, DoS/flood, brute force, sociálne inžinierstvo, fyzické útoky, spam/DMARC reporty, zverejnenie verzie bez dopadu, clickjacking bez preukázaného dopadu, chýbajúce hlavičky bez exploitu.

Pravidlá

• Konajte v dobrej viere, vyhýbajte sa narušeniu súkromia a zhoršeniu dostupnosti služby.

• Používajte iba svoje vlastné účty/údaje.

• Nezískavajte ani neupravujte údaje, ktoré vám nepatria. Pri náhodnom prístupe okamžite prestaňte a informujte nás.

• Nepoužívajte automatizované skenovanie, ktoré ovplyvňuje dostupnosť alebo stabilitu.

Ako poslať hlásenie

Píšte na [email protected], priložte:

• Zasiahnutý host/end-point a prostredie

• Presné kroky na reprodukciu

• Minimálny PoC (HTTP požiadavka/odpoveď, snímky obrazovky)

• Odhad dopadu a závažnosti (ideálne CVSS v3.1)

• Testovacie okno a pôvodné IP adresy

Neodosielajte tajné údaje e-mailom (prístupové údaje, tokeny, výpisy databázy) — citlivé informácie začiernite.

Safe Harbor

Pri dodržaní tejto politiky nebudeme podnikáť právne kroky a vaše konanie považujeme za autorizované na účely nahlásenia.

Odmeny a uznanie

Peňažné odmeny momentálne nie sú k dispozícii. Za potvrdené, neduplikačné hlásenia — verejné poďakovanie (Hall of Fame) a na požiadanie aj ďakovný list. Duplicitné hlásenia môžu byť uzavreté bez dodatočného uznania; kredit získa prvé platné hlásenie.

Termíny a SLA

• Potvrdenie prijatia: do 3 pracovných dní

• Stav po triáži: podľa výsledku posúdenia

• Koordinované zverejnenie: žiadame nezverejňovať detaily až do vydania opravy (do 90 dní)

Ciele opráv: Critical — 7 dní; High — 30 dní; Medium — 90 dní; Low — podľa plánu.