Vastuullisen tiedonannon käytäntö

Johdanto

DFDS suhtautuu tietoturvaan vakavasti. Tässä asiakirjassa kuvataan tietoturvahaavoittavuuksista ilmoittamista koskevat tietoturvamenettelyt ja yleiset käytännöt. Jos haluat ilmoittaa meille ("Organisaatio") haavoittuvuudesta, suosittelemme lukemaan tämän haavoittuvuuksien ilmoittamista koskevan käytännön kokonaan ennen ilmoituksen tekemistä.

Arvostamme ihmisiä, jotka käyttävät aikaansa haavoittuvuuksien ilmoittamiseen tämän käytännön mukaisesti, mutta otathan huomioon, ettemme tarjoa rahallisia palkkioita haavoittuvuuksien ilmoittamisesta.

Ilmoittaminen

Jos uskot löytäneesi tietoturva-aukon, lähetä ilmoitus meille sähköpostiosoitteeseen security@dfds.com.

Ilmoituksessasi tulee olla seuraavat tiedot:

  • verkkosivusto, git-arkisto, IP-osoite tai sivu, jolla haavoittuvuus voidaan havaita

  • lyhyt kuvaus haavoittuvuuden tyypistä (esim. XSS-haavoittuvuus)

  • ohjeet ilmoitetun havainnon toistamiseksi.

Varmista, että testisi ovat hyödyllisiä, eivät aiheuta vaurioita ja toimivat todisteena.

Näiden tietojen avulla ilmoitus voidaan testata nopeasti ja tarkasti.

Mitä on odotettavissa

Vastaamme viiden päivän kuluessa ilmoituksen lähettämisestä ja pyrimme testaamaan ilmoituksesi 15 arkipäivän kuluessa. Pidämme sinut ajan tasalla edistymsestämme. Korjauksen kiireellisyys arvioidaan vaikutuksen, vakavuuden ja väärinkäytön vaikeuden perusteella. Voit tiedustella ilmoituksesi tilaa, mutta ethän tee niin useammin kuin kahden viikon välein, jotta tiimimme voivat keskittyä korjaukseen.

Ilmoitamme sinulle, kun ilmoitettu haavoittuvuus on korjattu, ja sinua saatetaan pyytää vahvistamaan, että ratkaisu kattaa haavoittuvuuden asianmukaisesti. Kun haavoittuvuus on ratkaisu, otamme vastaan pyyntöjä ilmoituksesi julkaisuun. Pyrimme yhdenmukaistamaan ohjeet käyttäjille, joita haavoittuvuus koskee, joten toimithan julkaisun osalta yhteistyössä meidän kanssamme.

Ohjeet

ET saa:

  • rikkoa mitään sovellettavaa lakia tai määräystä

  • käyttää tarpeettomia, liiallisia tai merkittäviä määriä dataa

  • muokata Organisaation järjestelmissä tai palveluissa olevia tietoja

  • käyttää erittäin hyökkääviä tai tuhoavia skannaustyökaluja haavoittuvuuksien löytämiseksi

  • yrittää minkäänlaista palvelunestohyökkäystä, esim. palvelun ylikuormittamista suurella pyyntömäärällä, tai ilmoittaa sellaisesta

  • häiritä Organisaation palveluja tai järjestelmiä.