Zásady odpovědného zveřejňování

Úvod

Ve společnosti DFDS bereme bezpečnost velmi vážně. Tento dokument popisuje bezpečnostní postupy a obecné zásady pro zveřejňování bezpečnostních chyb. Pokud zvažujete, že nám („organizaci“) nahlásíte problém se zabezpečením, doporučujeme vám, abyste si předtím přečetli celé tyto zásady pro zveřejňování bezpečnostních chyb.

Osob, které věnují čas a úsilí nahlášení bezpečnostních chyb podle těchto zásad, si vážíme, upozorňujeme však, že za odhalení chyb nenabízíme žádnou finanční odměnu.

Nahlašování

Pokud se domníváte, že jste narazili na bezpečnostní chybu, pošlete nám zprávu na následující e-mail: security@dfds.com.

Ve zprávě uveďte následující podrobnosti:

  • Webová stránka, úložiště git, IP adresa nebo stránka, kde se bezpečnostní chyba objevila.

  • Stručný popis typu chyby (např. „chyba XSS“).

  • Kroky k reprodukci zveřejnění.

Dbejte na to, aby byly vaše testy neškodné, nedestruktivní a aby sloužily jako důkaz konceptu.

Tyto informace nám pomohou zprávu rychle a přesně zatřídit.

Co můžete očekávat

Po odeslání hlášení vám do 5 pracovních dnů odpovíme a do 15 pracovních dnů se pokusíme vaše hlášení vyřešit. O našem postupu vás budeme průběžně informovat. Priorita řešení je stanovena na základě dopadu, závažnosti a složitosti dané chyby. I když můžete vznášet dotazy na stav řešení, nečiňte tak častěji než jednou za 14 dní, aby se naše týmy mohly soustředit na vyšeření problému.

Po odstranění nahlášené chyby vás budeme informovat a můžeme vás také vyzvat, abyste potvrdili, že byla daná chyba dostatečně vyřešena. Po vyřešení chyby uvítáme žádosti o zveřejnění vašeho hlášení. Naším cílem je sjednotit pokyny pro dotčené uživatele, proto s námi prosím zveřejňování i nadále koordinujte.

Pokyny

NESMÍTE:

  • Porušovat platné zákony nebo předpisy.

  • Získávat přístup k nepotřebným, nadměrným nebo významným objemům dat.

  • Měnit údaje v systémech nebo službách organizace.

  • K nalezení chyb používat invazivní nebo destruktivní intenzivní skenovací nástroje.

  • Pokoušet se o jakoukoli formu odepření služby, např. zahlcení služby velkým množstvím požadavků, nebo takové odepření služby nahlašovat.

  • Narušovat služby nebo systémy organizace.