Politika e Zbulimit të Përgjegjshëm të Cenueshmërive (VDP)

Ne vlerësojmë kërkimet e sigurisë dhe pranojmë raportet me mirëbesim. Testimet e jashtme të pen-it tani nuk pranojmë.

Fusha e zbatimit

• skyalo.com, *.skyalo.com

• Aplikacionet mobile të Skyalo-s (versionet publike aktuale)

Jashtë fushës: shërbime të palëve të treta, DoS/flood, brute force, inxhinieri sociale, sulme fizike, spam/raporte DMARC, zbulim i versioneve pa ndikim, clickjacking pa ndikim të provuar, header-a që mungojnë pa eksploatim.

Rregullat

• Veproni me mirëbesim, shmangni cenimin e privatësisë dhe degradimin e shërbimit.

• Përdorni vetëm llogaritë/të dhënat tuaja.

• Mos merrni ose mos ndryshoni të dhëna që nuk ju përkasin. Nëse qaseni rastësisht, ndaloni menjëherë dhe na njoftoni.

• Mos përdorni skanim automatik që ndikon në disponueshmëri/stabilitet.

Si të dërgoni raportin

Shkruani te [email protected], bashkëngjitni:

• Hostin/endpoint-in e prekur dhe mjedisin

• Hapat e qartë për riprodhim

• PoC minimal (kërkesë/përgjigje HTTP, pamje ekrani)

• Vlerësimin e ndikimit dhe seriozitetit (mundësisht CVSS v3.1)

• Dritaren e testimit dhe IP-të burimore

Mos dërgoni sekrete me e-mail (kredenciale, tokenë, hedhje të DB-së) — maskoni informacionin e ndjeshëm.

Safe Harbor

Duke respektuar këtë politikë, ne nuk do të ndërmarrim veprime ligjore dhe do t’i konsiderojmë veprimet tuaja të autorizuara për qëllime raportimi.

Shpërblimet dhe njohja

Shpërblime monetare aktualisht nuk parashikohen. Për raporte të konfirmuara, jo të dublikuara — mirënjohje publike (Hall of Fame) dhe, me kërkesë, një letër falënderimi. Dublikatat mund të mbyllen pa njohje shtesë; merita i jepet raportit të parë të vlefshëm.

Afatet dhe SLA

• Konfirmimi i pranimit: brenda 3 ditëve pune

• Statusi pas triage: sipas rezultateve të shqyrtimit

• Zbulimi i koordinuar: ju lutemi mos publikoni detaje deri në daljen e rregullimit (deri në 90 ditë)

Qëllimet për rregullim: Critical — 7 ditë; High — 30 ditë; Medium — 90 ditë; Low — sipas planit.