Политика за отговорно разкриване на информация

Въведение

В DFDS се отнасяме много сериозно към сигурността в интернет. Този документ описва процедурите за сигурност и общите политики за разкриване на уязвимости в сигурността. Ако обмисляте да ни съобщите за уязвимост (на нас – „Организацията“), препоръчваме ви да прочетете изцяло тази политика за разкриване на уязвимости, преди да го направите.

Въпреки че ценим тези, които отделят време и усилия да докладват за уязвимости в сигурността съгласно тази политика, имайте предвид, че ние не предлагаме парични награди за разкриване на уязвимости.

Докладване

Ако смятате, че сте открили уязвимост в сигурността, изпратете ни доклада си на следния имейл: security@dfds.com.

В доклада си включете следните данни:

  • Уебсайтът, хранилището git, IP адресът или страницата, където може да се наблюдава уязвимостта.

  • Кратко описание на вида на уязвимостта (напр. „XSS уязвимост“).

  • Стъпки за възпроизвеждане на разкриването на информация.

Уверете се, че тестовете ви са безвредни, не са разрушителни или че служат за доказване на концепцията.

Тази информация помага да се гарантира, че докладът може да се приоритизира бързо и точно.

Какво да очаквате

След като изпратите доклада си, ще ви отговорим в рамките на 5 работни дни и ще се стремим да разгледаме доклада ви в рамките на 15 работни дни. Ще ви информираме за напредъка си. Приоритетът за отстраняване на проблеми се оценява въз основа на въздействието, сериозността и сложността на експлоатация. Въпреки че сте добре дошли да отправяте запитвания за състоянието, моля, избягвайте да го правите по-често от веднъж на всеки 14 дни, за да позволите на нашите екипи да се съсредоточат върху отстраняването на проблема.

Ще ви уведомим, когато докладваната уязвимост бъде отстранена, и може да бъдете поканени да потвърдите, че решението премахва адекватно уязвимостта. След като уязвимостта ви бъде отстранена, приветстваме искания за оповестяване на доклада ви. Стремим се да уеднаквим указанията за засегнатите потребители, затова ви молим да продължите да координирате публичното оповестяване с нас.

Насоки

НЕ ТРЯБВА:

  • да нарушавате приложимите закони или разпоредби.

  • да получавате достъп до ненужни, прекомерни или значителни количества данни.

  • да променяте данни в системите или услугите на Организацията.

  • да използвате инструменти за инвазивно или разрушително сканиране с висока интензивност, за да намерите уязвимости.

  • да правите опит за или да докладвате каквато и да е форма на отказ на услуга, например претоварване на услуга с голям брой заявки.

  • да прекъсвате услугите или системите на Организацията.