Politik for ansvarlig offentliggørelse

Indledning

Hos DFDS tager vi sikkerhed meget alvorligt. Dette dokument beskriver sikkerhedsprocedurer og generelle politikker for afdækning af sikkerhedssårbarheder. Hvis du overvejer at indberette en sårbarhed til os ("Organisationen"), anbefaler vi, at du læser denne politik om offentliggørelse af sårbarheder grundigt, før du gør det.

Selvom vi værdsætter dem, der tager sig tid til at indberette sikkerhedssårbarheder i henhold til denne politik, skal du være opmærksom på, at vi ikke yder monetære belønninger for afsløring af sårbarheder.

Indberetning

Hvis du mener, at du har fundet en sikkerhedssårbarhed, bedes du sende din rapport til os ved hjælp af følgende e-mail: security@dfds.com.

Medtag følgende oplysninger i din rapport:

  • Hjemmesiden, git-arkivet, IP-adressen eller siden, hvor sårbarheden kan observeres.

  • En kort beskrivelse af typen af sårbarhed (f.eks. "XSS-sårbarhed").

  • Trin til gengivelse af offentliggørelsen.

Sørg for, at dine tests er godartede, ikke-destruktive eller fungerer som proof of concept.

Disse oplysninger er med til at sikre, at rapporten kan behandles hurtigt og præcist.

Hvad kan man forvente?

Når du har indsendt din rapport, svarer vi inden for 5 arbejdsdage og sigter mod at behandle din rapport inden for 15 arbejdsdage. Vi holder dig orienteret om vores fremskridt. Prioritet for behandling vurderes ud fra påvirkning, sværhedsgrad og udnyttelseskompleksitet. Selvom du er velkommen til at forhøre dig om status, så undgå at gøre det mere end én gang hver 14. dag for at give vores teams mulighed for at fokusere på behandling.

Vi giver dig besked, når den rapporterede sårbarhed er udbedret, og du kan blive bedt om at bekræfte, at løsningen dækker sårbarheden tilstrækkeligt. Når din sårbarhed er blevet afhjulpet, offentliggøre vi gerne din rapport. Vi sigter mod at have samme rettesnor for alle berørte brugere, så bliv ved med at koordinere offentlig udgivelse med os.

Rettesnor

Du må IKKE:

  • Bryde eventuelle gældende love eller regler.

  • Tilgå unødvendige, overdrevne eller betydelige mængder data.

  • Ændre data i organisationens systemer eller tjenester.

  • Bruge højintensive invasive eller destruktive scanningsværktøjer til at finde sårbarheder.

  • Anvende eller indberette enhver form for denial of service, f.eks. overbelaste en tjeneste med en stor mængde anmodninger.

  • Forstyrre organisationens tjenester eller systemer.