Polityka bezpieczeństwa

Polityka zgłaszania podatności Zigrin Security

Wstęp

Zigrin Security ceni sobie opinie zarówno badaczy zajmujących się bezpieczeństwem, jak i ogółu społeczeństwa, aby stale poprawiać poziom ochrony naszych zasobów. Jeśli odkryłeś podatność, problem związany z prywatnością, ujawnione dane lub inne kwestie bezpieczeństwa w jakimkolwiek z naszych systemów, chcemy o tym wiedzieć. Niniejsza polityka określa kroki, jakie należy podjąć w celu zgłoszenia podatności, nasze oczekiwania wobec zgłaszających oraz to, czego możesz się od nas spodziewać.

Zakres systemów

Niniejsza polityka obejmuje wszystkie cyfrowe zasoby należące do, zarządzane lub utrzymywane przez Zigrin Security.

Główne elementy objęte zakresem:

  • *.zigrin.com

Poza zakresem

Następujące kwestie nie są objęte niniejszą polityką:

  • Podatność typu ClickJacking
  • Przekierowania URL
  • Brak nagłówka Referrer-Policy
  • Problemy związane z Content Security Policy (CSP)
  • Obecność banerów lub informacji o wersji
  • Nieprawidłowa konfiguracja DMARC
  • Zasoby lub inne urządzenia, które nie należą do podmiotów uczestniczących w tej polityce

Podatności wykryte lub podejrzewane w systemach, które nie należą do Zigrin Security, powinny zostać zgłoszone odpowiedniemu dostawcy lub właściwemu organowi.

Nasze zobowiązania

Współpracując z nami zgodnie z niniejszą polityką, możesz oczekiwać, że:

  • Odpowiemy na Twoje zgłoszenie w rozsądnym czasie i podejmiemy współpracę w celu jego zrozumienia i potwierdzenia;
  • Będziemy Cię informować o postępach w procesie obsługi podatności;
  • Podejmiemy działania naprawcze w rozsądnym terminie, w ramach naszych operacyjnych możliwości;
  • Zapewnimy „Safe Harbor” dla badań nad podatnościami prowadzonych zgodnie z niniejszą polityką.

Nasze oczekiwania

Aby uczestniczyć w naszym programie ujawniania podatności w dobrej wierze, prosimy, abyś:

  • Przestrzegał zasad określonych w niniejszej polityce oraz wszelkich innych obowiązujących umów. W przypadku sprzeczności między niniejszą polityką a innymi warunkami, pierwszeństwo ma niniejsza polityka;
  • Niezwłocznie zgłaszał wykryte podatności;
  • Nie naruszał prywatności innych użytkowników, nie zakłócał działania naszych systemów, nie niszczył danych ani nie pogarszał doświadczeń użytkowników;
  • Korzystał wyłącznie z oficjalnych kanałów do komunikacji na temat wykrytych podatności;
  • Dawał nam rozsądny czas (co najmniej 90 dni od pierwszego zgłoszenia) na rozwiązanie problemu przed jego publicznym ujawnieniem;
  • Testował wyłącznie systemy objęte zakresem polityki i respektował ograniczenia dotyczące systemów znajdujących się poza zakresem;
  • W przypadku podatności umożliwiającej niezamierzony dostęp do danych: ograniczył dostęp do absolutnego minimum wymaganego do skutecznego przedstawienia dowodu koncepcji (Proof of Concept) oraz niezwłocznie zakończył testy i zgłosił podatność, jeśli napotkasz jakiekolwiek dane użytkowników, takie jak dane osobowe (PII), informacje dotyczące zdrowia (PHI), dane kart płatniczych lub informacje o charakterze poufnym;
  • Korzystał wyłącznie z kont testowych, które sam posiadasz, lub uzyskał wyraźną zgodę właściciela konta;
  • Nie angażował się w działania o charakterze szantażu.

Oficjalne kanały komunikacji

Prosimy o zgłaszanie problemów związanych z bezpieczeństwem poprzez security@zigrin.com, podając wszystkie istotne informacje. Im więcej szczegółów dostarczysz, tym łatwiej będzie nam przeanalizować i naprawić problem.

Safe Harbor

Badania nad podatnościami prowadzone zgodnie z niniejszą polityką traktujemy jako:

  • Autoryzowane w odniesieniu do wszelkich obowiązujących przepisów dotyczących nieuprawnionego dostępu do systemów; nie podejmiemy ani nie poprzemy działań prawnych przeciwko Tobie za nieumyślne naruszenia wynikające z działania w dobrej wierze;
  • Autoryzowane w odniesieniu do przepisów dotyczących obchodzenia zabezpieczeń technologicznych – nie wniesiemy przeciwko Tobie roszczeń związanych z naruszeniem takich przepisów;
  • Zwolnione z ograniczeń wynikających z naszego Regulaminu Świadczenia Usług (TOS) lub Polityki Akceptowalnego Użytkowania (AUP), które mogłyby utrudniać prowadzenie badań nad bezpieczeństwem. W ograniczonym zakresie zrzekamy się tych ograniczeń;
  • Zgodne z prawem, korzystne dla ogólnego bezpieczeństwa Internetu i prowadzone w dobrej wierze.

Oczekujemy jednak, że zawsze będziesz przestrzegać obowiązujących przepisów. Jeśli osoba trzecia podejmie wobec Ciebie kroki prawne, a Twoje działania były zgodne z niniejszą polityką, podejmiemy działania w celu potwierdzenia, że Twoje działania były prowadzone w zgodzie z jej postanowieniami.

Jeśli kiedykolwiek masz wątpliwości lub nie jesteś pewien, czy Twoje badania są zgodne z niniejszą polityką, zgłoś swoje obawy za pośrednictwem jednego z naszych oficjalnych kanałów przed podjęciem dalszych działań.

Należy pamiętać, że zasada Safe Harbor dotyczy wyłącznie roszczeń prawnych, nad którymi kontrolę sprawuje organizacja uczestnicząca w tej polityce i nie obejmuje niezależnych stron trzecich.

Nagrody

Obecnie nie oferujemy żadnych nagród za zgłoszone podatności. Możemy przyznać nagrodę w wyjątkowych przypadkach za wykrycie luk o wysokim lub krytycznym poziomie ryzyka. Zastrzegamy sobie jednak prawo do samodzielnego określenia poziomu zagrożenia oraz decyzji o ewentualnym przyznaniu nagrody.

Ze względu na rosnącą liczbę zgłoszeń zawierających prośby o wynagrodzenie prosimy, aby nie żądać żadnej nagrody na żadnym etapie procesu zgłaszania podatności.