Policy för ansvarsfullt avslöjande av sårbarheter (VDP)

Vi värdesätter säkerhetsforskning och tar emot rapporter som görs i god tro. Externa pentester accepterar vi för närvarande inte.

Omfattning

• skyalo.com, *.skyalo.com

• Skyalos mobilappar (aktuella publika versioner)

Utanför omfattningen: tredjepartstjänster, DoS/flood, bruteforce, social ingenjörskonst, fysiska attacker, spam/DMARC-rapporter, versionsavslöjande utan påverkan, clickjacking utan bevisad påverkan, saknade headers utan exploit.

Regler

• Agera i god tro och undvik att kränka integritet eller försämra tjänsten.

• Använd endast dina egna konton/data.

• Hämta eller ändra inte data som inte tillhör dig. Om du råkar få tillgång till något, avbryt omedelbart och meddela oss.

• Använd inte automatiserad scanning som påverkar tillgänglighet eller stabilitet.

Så skickar du en rapport

Skriv till [email protected], bifoga:

• Berörd host/endpoint och miljö

• Tydliga steg för att återskapa problemet

• Minimalt PoC (HTTP-begäran/svar, skärmdumpar)

• Bedömning av påverkan och allvarlighetsgrad (gärna CVSS v3.1)

• Testfönster och dina ursprungliga IP-adresser

Skicka inte hemligheter via e-post (inloggningsuppgifter, tokens, databasutdrag) — maskera känslig information.

Safe Harbor

Om du följer denna policy kommer vi inte att vidta rättsliga åtgärder och betraktar dina handlingar som auktoriserade i rapporteringssyfte.

Belöningar och erkännande

Inga monetära belöningar finns för närvarande planerade. För bekräftade, icke-dubblerade rapporter — offentligt tack (Hall of Fame) och, på begäran, ett tackbrev. Dubbletter kan avslutas utan ytterligare erkännande; först giltig rapport får crediten.

Tidsramar och SLA

• Bekräftelse på mottagen rapport: inom 3 arbetsdagar

• Status efter triage: efter granskning

• Koordinerad publicering: vi ber dig att inte publicera detaljer innan en fix har släppts (upp till 90 dagar)

Mål för åtgärd: Critical — 7 dagar; High — 30 dagar; Medium — 90 dagar; Low — enligt plan.