Atbildīgas izpaušanas politika

Ievads

DFDS IT drošību uztver ļoti nopietni. Šajā dokumentā ir izklāstītas drošības procedūras un vispārējā politika attiecībā uz drošības ievainojamību izpaušanu. Ja apsverat iespēju ziņot mums ("Organizācijai") par kādu ievainojamību, iesakām pirms tam pilnībā izlasīt šo ievainojamību izpaušanas politiku.

Lai gan mēs augstu vērtējam tos, kas velta laiku un pūles, lai ziņotu par drošības ievainojamībām saskaņā ar šo politiku, ņemiet vērā, ka mēs par ievainojamību izpaušanu nepiedāvājam naudas atlīdzību.

Ziņošana

Ja uzskatāt, ka esat atklājis drošības ievainojamību, iesniedziet mums ziņojumu, izmantojot šo e-pasta adresi: security@dfds.com.

Ziņojumā iekļaujiet šādu informāciju:

  • tīmekļa vietne, Git repozitorijs, IP vai lapa, kurā var novērot ievainojamību;

  • īss ievainojamības veida apraksts (piemēram, "XSS ievainojamība");

  • darbības, kas jāveic, lai reproducētu ievainojamību.

Lūdzu, pārliecinieties, ka jūsu testi ir labdabīgi, nedestruktīvi vai kalpo kā koncepcijas apliecinājums.

Šī informācija palīdz nodrošināt, ka ziņojumu var ātri un precīzi izskatīt.

Pēc ziņojuma iesniegšanas

Pēc ziņojuma iesniegšanas mēs atbildēsim 5 darba dienu laikā un centīsimies izskatīt jūsu ziņojumu 15 darba dienu laikā. Mēs jūs informēsim par paveikto. Ievainojamības novēršanas prioritāte tiek novērtēta, pamatojoties uz ietekmi, nopietnību un ekspluatācijas sarežģītību. Lai gan varat jautāt par procesa statusu, lūdzu, neveiciet to biežāk kā reizi 14 dienās, lai mūsu komandas varētu koncentrēties uz novēršanas darbiem.

Mēs jums paziņosim, kad ziņotā ievainojamība tiks novērsta, un jūs varat tikt aicināts apstiprināt, ka risinājums pienācīgi novērš šo ievainojamību. Pēc tam, kad jūsu ziņotā ievainojamība ir novērsta, mēs gaidīsim pieprasījumus izpaust jūsu ziņojumu. Mūsu mērķis ir apvienot skartajiem lietotājiem sniedzamos norādījumus, tāpēc lūdzam, lai jūs turpinātu ar mums saskaņot publiskošanu.

Norādījumi

Jūs NEDRĪKSTAT:

  • pārkāpt nekādus piemērojamos likumus vai noteikumus;

  • piekļūt nevajadzīgiem, pārmērīgiem vai ievērojamiem datu apjomiem;

  • modificēt datus Organizācijas sistēmās vai pakalpojumos;

  • izmantot augstas intensitātes invazīvus vai destruktīvus skenēšanas rīkus, lai atrastu ievainojamības;

  • mēģināt vai ziņot par jebkāda veida pakalpojuma atteikumu, piemēram, pakalpojuma pārslogošanu ar lielu pieprasījumu skaitu;

  • radīt traucējumus Organizācijas pakalpojumu vai sistēmu darbībā.