Polityka odpowiedzialnego ujawniania informacji
W Proximus Sp. z o.o. (właściciel marki SMSEagle) bezpieczeństwo naszych systemów i produktów jest dla nas kwestią najwyższej wagi. Używamy procesu Secure Development Lifecycle, aby zapewnić bezpieczeństwo naszych produktów począwszy od fazy projektowania, przez rozwój, aż po wdrożenie. Niestety, w niektórych przypadkach luki w zabezpieczeniach nie są wykrywane od razu lub nowe podatności są odkrywane po wprowadzeniu produktu na rynek.
Jeśli znalazłeś podatność, chcemy dowiedzieć się o tym jak najszybciej, abyśmy mogli podjąć odpowiednie środki. Badamy wszystkie otrzymane zgłoszenia dotyczące luk w zabezpieczeniach i wdrażamy najlepsze sposoby reagowania w celu ochrony naszych klientów.
Jeśli jesteś badaczem bezpieczeństwa i odkryłeś lukę w zabezpieczeniach naszych produktów, docenimy Twoją pomoc w jej odpowiedzialnym ujawnieniu. Proximus nie podejmie kroków prawnych przeciwko odpowiedzialnym zgłaszającym, którzy dobrowolnie i w dobrej wierze zgłaszają nam lukę w zabezpieczeniach i postępują zgodnie z naszymi procedurami.
Prosimy o przestrzeganie następujących wytycznych dotyczących odpowiedzialnego ujawniania informacji:
- Wyślij swoje odkrycie tak szybko, jak to możliwe, na adres e-mail security(at)smseagle.eu. Nasz klucz PGP jest dostępny poniżej.
- Nie nadużywaj podatności, na przykład poprzez pobieranie, edycję lub usuwanie danych, które nie należą do Ciebie.
- Nie udostępniaj wiedzy o podatności innym osobom, dopóki problem nie zostanie rozwiązany.
- Nie stosuj ataków na zabezpieczenia fizyczne, inżynierii społecznej ani narzędzi hakerskich, takich jak skanery podatności.
- Podaj pełne informacje o problemie, tak by mógł zostać odtworzony i Dział Security mógł go rozwiązać tak szybko, jak to możliwe.
- Daj nam możliwość naprawienia podatności w rozsądnym czasie przed publicznym ujawnieniem zidentyfikowanego problemu, aby mieć pewność, że Proximus opracował i przetestował poprawkę oraz udostępnił ją klientom w momencie ujawnienia.
Co obiecujemy:
- Odpowiemy na Twoje zgłoszenie w ciągu 3 dni roboczych.
- Będziemy z Tobą współpracować, aby zrozumieć charakter problemu i wspólnie ustalić harmonogram naprawy/ujawnienia.
- Będziemy traktować Twoje zgłoszenie poufnie i nie udostępnimy Twoich danych osobowych osobom trzecim bez Twojej zgody.
- Będziemy Cię informować o postępach w rozwiązywaniu problemu.
- Powiadomimy Cię, gdy luka zostanie rozwiązana, aby można ją było ponownie przetestować i potwierdzić, że została naprawiona.
- Publicznie potwierdzimy Twoje odpowiedzialne ujawnienie (jeśli chcesz otrzymać uznanie za takie ujawnienie).
- W ramach naszej wdzięczności możemy zaoferować nagrodę za zgłoszenie problemu bezpieczeństwa, o którym jeszcze nie wiedzieliśmy.
- Wysokość nagrody jest ustalana na podstawie powagi wycieku i jakości zgłoszenia. To, czy przyznamy Ci nagrodę, jest naszą indywidualną i niepodważalną decyzją.
Dokładamy wszelkich starań, aby rozwiązywać wszystkie problemy tak szybko, jak to możliwe, informować wszystkie zaangażowane strony i być zaangażowani w każdą publikację dotyczącą problemu po jego rozwiązaniu.
—–BEGIN PGP PUBLIC KEY BLOCK—–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=0UZs
—–END PGP PUBLIC KEY BLOCK—–
