Vastutustundlik avalikustamispoliitika

Sissejuhatus

DFDS-is võtame turvalisust väga tõsiselt. Selles dokumendis kirjeldatakse turbeprotseduure ja üldisi eeskirju turvaaukude avalikustamiseks. Kui kaalute meile ("organisatsioonile") haavatavusest teatamist, soovitame enne seda haavatavuse avalikustamise poliitika täielikult läbi lugeda.

Kuigi hindame nende poliitikate kohaselt neid, kes võtavad aega ja vaeva, et turvaaukudest teatada, pidage meeles, et me ei paku haavatavuste avalikustamise eest rahalisi hüvesid.

Teadaandmine

Kui arvate, et olete leidnud turvaaugu, saatke meile oma teadaanne, kasutades järgmist e-posti aadressi: security@dfds.com.

Lisage oma teadaandesse järgmised üksikasjad:

  • Veebisait, git repositoorium, IP või lehekülg, kus haavatavust saab jälgida.

  • Haavatavuse tüübi lühikirjeldus (nt "XSS-i haavatavus").

  • Sammud avalikustamise reprodutseerimiseks.

Veenduge, et teie katsed on healoomulised, mittepurustavad või et need on kontseptsiooni tõestuseks.

See teave aitab tagada, et aruannet saab kiiresti ja täpselt menetleda.

Mida oodata

Pärast aruande esitamist vastame 5 tööpäeva jooksul ja püüame käsitleda teie aruannet 15 tööpäeva jooksul. Me hoiame teid tehtud edusammudest kursis. Parandamise prioriteetsust hinnatakse mõju, tõsiduse ja ekspluateerimise keerukuse alusel. Võite oleku kohta julgelt küsida, kuid palun vältige seda rohkem kui kord 14 päeva jooksul, et meie meeskonnad saaksid keskenduda parandamisele.

Me teavitame teid, kui teatatud haavatavus on kõrvaldatud, ja teid võidakse kutsuda kinnitama, et lahendus katab haavatavust. Kui teie haavatavus on kõrvaldatud, ootame taotlusi teie aruande avalikustamiseks. Meie eesmärk on ühtlustada mõjutatud kasutajatele suunatud juhised, seega jätkake meiega avaliku avaldamise kooskõlastamist.

Juhised

Te EI TOHI:

  • rikkuda kõiki kohaldatavaid seadusi või määrusi.

  • pääseda ligi ebavajalikele, liigsetele või märkimisväärsetele andmemahtudele.

  • muuta andmeid organisatsiooni süsteemides või teenustes.

  • kasutada haavatavuste leidmiseks suure intensiivsusega invasiivseid või destruktiivseid skaneerimisvahendeid.

  • püüda või teatada mis tahes vormis teenusetõkestusest, nt teenuse ülekoormamine suure hulga päringutega.

  • häirida organisatsiooni teenuseid või süsteeme.