Zásady hlášení bezpečnostních zranitelností

Zabezpečení IT je trvalý proces, který bereme velmi vážně. Uznáváme proto práci širší bezpečnostní komunity a oceňujeme hlášení potenciálních bezpečnostních zranitelností koordinovaným, konstruktivním a transparentním způsobem. I díky tomu můžeme našim klientům poskytovat stále bezpečnější a kvalitnější služby.

Rozsah

Tato politika se vztahuje na domény a subdomény Aliter Technologies a.:

• www.aliter.com

• aliter.ca

• aliter-holding.com

• virtual-mast.com

• monse.sk

Výjimky z rozsahu

Bezpečností testování a nahlašování zranitelností spadajících do těchto oblastí je mimo relevantní obsah:

• sociální inženýrství (např. phishing),

• odepření služby (denial of service),

• útoky hrubou silou,

• útoky nad rámec kontroly existence zranitelnosti (nekompromitujte ani nezískejte údaje, neměňte nastavení systému a aplikací, nevytvářejte trvalou přítomnost, nepokračujte v útocích do dalších systémů),

• útoky týkající se neaktualizovaných a nepodporovaných verzí SW,

  zranitelností bez prokazatelné zneužitelnosti nebo dopadu (např. je vyžadována autentifikace)

• zranitelnosti nízké závažnosti (např. clickjacking, autocomplete web formulářů, SSL/TLS šifry, odhalení verzí SW, chybějící HTTP hlavičky, mailové bezpečnostní techniky – SPF, DKIM, DMARC, atd.),

• doporučení pro optimalizaci nastavení.

Jak nahlásit bezpečnostní zranitelnost

Pokud v našem systému nebo produktu objevíte bezpečnostní zranitelnost, co nejdříve nám ji prosím nahlaste. Stačí poslat e-mail na adresu vulnerability@aliter.com.

Zašifrujte prosím svou zprávu a její přílohy naším veřejným klíčem PGP.

Do zprávy uveďte následující informace:

• podrobný popis zranitelnosti,

• čas a způsob odhalení zranitelnosti,

• specifikace systému nebo produktu, kde byla zranitelnost objevena,

• kroky potřebné k replikaci zranitelnosti,

• jakékoli další související informace (vzorky kódu, záznamy v logu, screenshoty aj.).

Jak řešíme bezpečnostní zranitelnosti?

Nahlášené případy prověříme do 5 pracovních dnů a sdělíme vám naše stanovisko. Budeme vás postupně informovat o procesu a předpokládané době odstranění problému.

Právní stanovisko

Společnost Aliter Technologies prohlašuje, že nebude podnikat žádné právní kroky proti oznamovatelům bezpečnostních zranitelností, kteří jednají v souladu s těmito zásadami.

Informace poskytnuté oznamovatelem budeme zpracovávat důvěrně a bez jeho souhlasu nebudeme jeho osobní údaje poskytovat třetím stranám. Za nahlášené zranitelnosti neposkytujeme finanční odměnu, ale jako projev našeho uznání můžeme jméno oznamovatele zveřejnit na našich webových stránkách a prezentovat jeho přínos, pokud s tím bude oznamovatel souhlasit.

Síň slávy oznamovatelů bezpečnostních zranitelností