Atsakingo saugos pažeidžiamumų atskleidimo politika

Įžanga

DFDS į IT saugą žiūri labai rimtai. Šiame dokumente pateikiamos saugos procedūros ir bendroji saugos pažeidžiamumų atskleidimo politika. Jei ketinate mums (toliau – Organizacija) pranešti apie saugos pažeidžiamumą , rekomenduojame prieš tai darant perskaityti visą šią saugos pažeidžiamumų atskleidimo politiką.

Vertiname tuos, kurie skiria laiko ir pastangų pranešti apie saugos pažeidžiamumus pagal šią politiką, tačiau atkreipiame dėmesį, kad už saugos pažeidžiamumų atskleidimą piniginio atlygio nesiūlome.

Pranešimų teikimas

Jei manote, kad radote saugos pažeidžiamumą, pateikite mums pranešimą šiuo el. pašto adresu: security@dfds.com.

Savo pranešime nurodykite tokią informaciją:

  • Interneto svetainė, „Git“ saugykla, IP arba puslapis, kuriame galima pastebėti pažeidžiamumą.

  • Trumpas pažeidžiamumo tipo aprašymas (pvz., „XSS pažeidžiamumas“).

  • Žingsniai, kaip buvo pastebėtas pažeidžiamumas.

Jūsų atliekami testai turi būti geranoriški, nekenksmingi ir skirti vien rastam pažeidžiamumui įrodyti.

Ši informacija padės greitai ir tiksliai suklasifikuoti jūsų pateiktą pranešimą.

Ko tikėtis

Jums pateikus pranešimą, atsakysime per 5 darbo dienas ir sieksime per 15 darbo dienų jūsų pranešimą suklasifikuoti. Informuosime apie sprendimo eigą. Pirmenybė taisant klaidas suteikiama atsižvelgiant į jų poveikį, rimtumą ir kiek jos apsunkina naudojimąsi svetaine. Nors galite teirautis apie sprendimo būseną, darykite tai ne dažniau nei kas 14 dienų, kad mūsų darbuotojai galėtų susitelkti būtent į pažeidžiamumų sprendimą.

Informuosime jus, kai pažeidžiamumas, apie kurį pranešėte, bus ištaisytas, ir galime jūsų paprašyti patvirtinti, kad sprendimas pažeidžiamumą ištaisė tinkamai. Kai pažeidžiamumas, apie kurį pranešėte, bus pašalintas, galite prašyti leisti atskleisti jūsų pranešimą. Mes siekiame suvienodinti paveiktiems vartotojams duodamas gaires, todėl prašome paviešinimą derinti su mumis.

Gairės

NEGALIMA:

  • Pažeisti jokių taikomų įstatymų ar kitų teisės aktų.

  • Prieiti prie nebūtinų, perteklinių duomenų arba didelių duomenų kiekių.

  • Keisti duomenų Organizacijos sistemose ar paslaugose.

  • Naudoti didelio intensyvumo invazinius arba destruktyvius tikrinimo įrankius pažeidžiamumams rasti.

  • Bandyti sukelti ir pranešti apie bet kokią aptarnavimo perkrovą, pvz., atliekant kokios nors paslaugos perkrovą dideliu užklausų kiekiu.

  • Trikdyti Organizacijos paslaugų ir sistemų veikimą.